论文部分内容阅读
【编者按】近年来,我国公民的个人信息安全已经成为严重的社会问题。据报道,2008年6月,深圳全市的孕产妇信息库发生泄露,不法分子将泄密孕产妇的个人信息制成光盘非法销售。[1]2010年3月4日,首例以“出售、非法提供公民个人信息罪”罪名侦办和批捕的案件在北京市朝阳区人民法院开庭审理。[2]2010年12月17日,北京市朝阳区人民法院对中国移动、中国联通员工涉嫌非法提供、出售公民个人信息罪一案做出判决。[3]2011年4月,成都市84卷知青档案被标价1.25万元挂于网上公开叫卖。[4]2012年3·15晚会重点曝光了个人信息泄露事件,其中包括电信、银行等企业。个人信息泄露事件和个人信息违法犯罪案件的频发,一次次地刺激着人们脆弱敏感的神经。我们成为了当今社会里的“透明人”,在不知觉中个人的姓名电话、住房地址、车型车牌等都成为了不法分子倒卖的“商品”,甚至还由此滋生出诈骗等犯罪活动,已经严重威胁到公民的人身和财产安全,影响着社会的稳定。如何保护公民的个人信息安全,是社会管理创新的又一严峻考验。我们从法律制度、社会心理学角度,结合当下网络环境,并借鉴国外关于信息安全保护的经验,讨论我国个人信息保护对策,以期能为个人信息安全保护提供有效的建议。
【摘要】对于如何保障个人信息安全问题,重庆市法学会民法经济法副会长陈永标针对当下法律缺失、保护不利的现状,提出应尽快出台《个人信息安全保护法》、建立执法体系和完善制度,从而提高我国个人信息保护的意识,规范个人信息的处理行为,以促进个人信息的合理利用,打击个人信息的违法犯罪行为,真正保护公民的个人信息权。甘肃省社会科学院法学研究所副研究员、复旦大学法学院博士柴晓宇,从个人信息保护立法模式的国际比较与经验借鉴的角度,在介绍国外有关个人信息保护的立法经验上对我国个人信息保护立法提出了建设性的思考。华东政法大学法学院教授林凌,针对当下的网络信息环境,剖析了网络信息的迅速发展对个人信息泄露的“推手”效应,对比了网络前时代与网络时代个人信息泄露的特征,并由此提出网络信息下个人信息保护的法律意见。华东师范大学心理与认知科学学院教授陈国鹏和同济大学浙江学院王莉佳合作,从社会心理学角度剖析了由于信息泄露所带来的诈骗活动背后的各种心理机制问题,从而为使加强信息被泄露者的自我防范意识提供了参考意见。
【关键词】 公民个人信息 泄漏 法律保障 国外经验 网络环境 诈骗 心理机制
对我国个人信息安全法律问题的认识与思考
文 / 陈永标
日益严峻的个人信息被泄露、被买卖所造成的公民个人信息权被侵害的现象屡屡发生,层出不穷的个人信息违法犯罪问题已经影响到我国公民的人身、财产安全。经济利益的驱使是直接导致个人信息的被泄露和被买卖的原因之一。一方面,个人信息的买卖能够帮助个人信息买受者带来客户资源和销售市场,了解消费者的消费层次和习惯,向消费者推销商品,给买受者带来直接的经济收益;另一方面个人信息的贩卖者为了经济利益,明码标价出售个人信息给买受者,从而为其带来额外的收入。因此,如何加强个人信息管理、严厉打击个人信息违法犯罪、保护公民的个人信息权,法律的意义是不可忽视的,而综观我国现行的法律规范,其中存在的问题也的确值得讨论。
一、侵权现象分析我国个人信息不安全的成因
(一)关于格式合同中没有约定信息安全条款
个人信息的泄露,最有可能的机构就是电信部门、银行、保险公司、房屋中介及掌握公民个人信息的政府部门、教育部门、市场调查公司、房地产公司等,而个人信息的泄露者获得个人信息的途径往往就是通过订立合同而获得。这种合同往往都是格式合同,例如:《商品房买卖合同》、《贷款合同》等等。由于这些格式合同条款不是与个人协商一致,均没有关于个人信息安全的条款和约定,加之现在我国关于个人信息安全还没有比较完整的法律规定,个人信息安全就合同相对人而言不具有约束力,即合同相对人对个人信息没有法定的保密义务,导致个人信息随意被泄露、被买卖。
(二)收集个人信息缺少有效的制度约束
有关机构和单位超出其办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。这些信息难道是必要的吗?实际上,我们不能排除是收集人员为了出售个人信息而收集个人信息的。更为恶劣的还有在网上非法买卖个人信息的。调查发现,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。由于我国没有关于信息采集的具体要求、具体标准和信息采集后的保密制度,导致个人在办理购房、购车、住院等手续之后,相关个人信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。
(三)没有专门法律规定,不利于个人信息的保护
早在2003年,国务院信息办就委托中国社科院法学所个人数据保护法研究课题组,承担了《个人数据保护法》的研究课题。2005年课题组就已经完成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但时至今日,面對愈演愈烈的个人信息侵权问题,这部法律仍未出台,不能对侵害公民个人信息的违法犯罪行为起到打击和震慑作用,对个人信息的受害人保护是极为不利。
二、个人信息维权普遍存在障碍
(一)追究侵权主体责任难
据2011年12月1日《中国青年报》刊载,该报经调查发现,受访者认为最有可能泄露个人信息的机构是电信部门,然后是“需要注册个人信息的网站”。其他还包括银行、保险公司、房屋中介、掌握公民个人信息的政府部门、教育部门、市场调查公司、房地产公司等。不法分子掌握公民的信息后,由于个人信息的获得途径往往是通过合同的订立而获取,那么个人信息的获得者是单位,而出售个人信息的往往是单位的工作人员。又因为单位的性质不同,国有或事业单位的工作人员比较稳定、容易追查。但一些民营企业的工作人员跳槽严重,往往一些个人信息被出卖后就跳槽或跳槽前把个人信息带走,以致受害者追究责任存在困难。 (二)刑事处罚侵权者范围过窄,没有个人信息保护体系
首先,我国《刑法修正案(七)》中明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。现实生活中,非《刑法修正案(七)》罗列的民办机构,如:房地产公司、物业公司、中介机构、酒店等机构甚至公民个人,将公民个人信息出售、非法提供给他人并造成严重后果的现象屡见不鲜,这些主体尚没有被纳入刑法规定的范围之内。显然,受刑事处罚的侵权者范围过窄,不利于个人信息保护。
其次,我国《刑法》已将泄露个人信息入罪,但制止和震慑泄露信息效果不明显。对泄露个人信息的行为,我们目前虽然有《刑法》的规定,但没有形成对个人信息保护的完整体系,缺少相配套的一般性法律法规。村民委员会、社区、学校、医院、房地产公司、物业公司、中介机构、酒店等机构甚至公民个人,都是个人信息的获取者,都有可能将公民个人信息泄露。但现有刑法仅对承担刑事责任的主体比较狭窄涉及源头的部门和公司,无疑给公民个人信息保护造成了一个大漏洞,遗漏了被刑事处罚者。因为每一个掌握信息的机构和机关,都有确保这些信息安全的义务和责任。所以,仅有刑法修正案(七)、侵权责任法的规定,而对有刑法修正案(七)规定之外的侵权者和侵权责任如何处理,没有规定或相关规定条款过于分散,可操作性差。
(三)侵权者承担责任过轻
公民个人很难知道自己的个人信息在什么时间、什么地点、以什么方式、被谁泄露,所以想要起诉他人泄露自己个人信息的成本非常高,大多数人只能忍气吞声。由于个人信息犯罪的起刑点“情节严重”的判定标准不明晰,亟须细化此法律。由于审查是否构成个人信息犯罪难度大、时间具有不确定性,按照目前的法律规定,侵犯个人隐私权应承担的责任多为停止侵害、消除影响,而获得精神损害赔偿的证明难度非常大。这样一来,由于受害者自己要承担法院民事诉讼的诉讼费用和诉讼代理费用(缺少法律援助)成本过高,所以就算赢了官司,也很难得到适当赔偿。因此,侵权者实际承担的侵权责任就很轻。
(四)现有法律规定严重滞后,不能真正制止个人信息侵权行为
目前,我国涉及保护个人信息的法律大大小小虽有近40部、法规30多部、规章近200部。这些法律规范更多是从事后救济的角度对公民个人信息提供保护,没有关于事先预防的制度和规范性规定,也没有关于事中的控制措施和手段的法律规定。仅仅按照事后救济的规定去维护公民个人信息,就会时间长、途径复杂、需要支付的维权成本非常高,以致许多受害者放弃维权。受害者放弃维权助长了个人信息被非法使用的发生,也难以从根本上防范个人信息被非法使用的行为。所以,个人信息领域的违法行就会屡禁不止,甚至愈演愈烈。
三、关于个人信息安全法律对策的思考
(一)应尽快出台《個人信息安全保护法》
今年7月,工信部发布的《互联网信息服务管理规定(征求意见稿)》明确规定,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息。这是我国工信部就互联网保护个人信息的部门规章,但对个人信息的立法保护,我国还缺乏一部专门的法律。我国的个人信息保护法自2003年起部署起草至今已近九年,但这项立法建议一直未能进入正式的立法程序。而相对欧美等很多发达国家,对个人的隐私、个人数据的保护都有专门的立法保护。
面对个人信息遭泄露行为日渐猖獗的严峻形势,相关部门要充分认识到个人信息保护的紧迫性、重要性,应站在保护公众利益的法律高度,加快《个人信息保护法》的出台。因为,有《个人信息保护法》的明文规定,才能明确个人信息的保护范围、个人信息主体的权利范围、个人信息使用者、管理者的义务和法律责任等内容,真正做到有法可依,才能真正保护公民的个人信息。
我国前阶段破获的一些个人信息买卖案,诸如互联网公司单位等单位员工通过出卖客户个人信息获得非法报酬,仅对员工处罚而没有对企业负责人作出追惩,就是无法可依所致。因此,要达到实质性的惩处信息侵权、保护公民个人信息安全的目的,就必须加快《个人信息保护法》的出台。
(二)建立个人信息采集制度和完善格式合同条款
首先,针对当前个人信息的法律法规内容分散、层级偏低,首先要建立严格的个人信息采集准入管理制度。有关部门、单位要严把个人信息采集准入关,做到采前有登记、采中有监管、采后要备案存档;要建立对个人信息采集者、管理者、使用者的追踪制和负责人问责制,防止个人信息被泄露、被买卖,维护个人的信息安全。
其次,格式合同应完善个人信息保密条款。公民个人与电信、银行、开发商之间等单位订立的合同都是格式合同,这些格式合同的条款都不是公民个人与对方协商一致。由于合同没有关于公民个人信息的保密条款,对方就会以合同没有约定为由对公民的个人信息不予以保密。因此,完善格式合同中公民个人信息保密条款,对合同相对人就有保守个人信息的义务。只有合同上约定了相对人具有保守个人信息、管理个人信息的义务,对其就具有一定的约束力,公民个人信息才有不被泄露的可能。
(三)实行无过错原则,实行举证责任倒置制度
公民个人很难知道自己的信息在什么时间、什么地点、以什么方式、被谁泄露,也没有意识到电信诈骗、非法讨债等犯罪的背后是因为个人信息泄露。等到知道了问题的严重性和后果时,想要起诉他人泄露自己个人信息,在追究民事责任的时候都面临着是起诉单位还是起诉个人的困惑;存在着取证难、举证难且诉讼成本高、收益低的问题,当事人很难依法维护自己的信息权。由于我国在个人信息保护方面还没有出台统一的、专门的《个人信息安全保护法》,个人因信息被泄露诉诸法律还是按照民法通则的原则进行。但我国民法通则第十一条无过错责任原则的适用范围,并不包括个人信息侵权。因此,为保护公民个人信息权、维护公民的合法权益,因信息被泄露诉诸法律有必要实行无过错原则,实行举证责任倒置制度?。 (四)人民法院受理个人信息侵权案件应予免费
我国司法实践中一般将泄露个人信息视为侵犯隐私权的行为。按照现有民事法律规定,确定承担民事侵权责任的方式为损害赔偿、停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔礼道歉、消除影响恢复名誉八种。侵犯个人隐私权应承担的责任多为停止侵害、消除影响,而获得精神损害赔偿的证明难度非常大。这样一来,由于受害者诉讼成本过高,也缺少法律援助,所以就算赢了官司,也很难得到适当赔偿。因此,为保护个人信息安全,人民法院受理个人信息侵权案件应予免费。
(五)开展行业自律、发挥行业协会作用
机动车销售、房产中介、银行保险、通讯电信、小额贷款公司等行业及其从业人员往往有机会接触、掌握大量公民个人信息。但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。由于这些行业有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,应当充分发挥行业协会行业自律的作用,可以部分有效地弥补我国在个人信息保护方面、国内立法的不足。
(六)开展法律援助维护个人信息安全
个人信息实际上就是一种财产,属于个人所有,具备商业价值。一旦侵权行为发生,受害人就可以要求商家承担财产责任。但现有法律没有一个法定的个人信息赔偿数额或标准,不像《产品质量法》关于产品责任的规定那么具体,也不像《道路交通安全法》规定了道路交通事故责任的基本规则那么明晰。个人要取得信息权维权的胜诉除了取证难、举证难、法院免除诉讼费之外,还需要在减轻受害人维权成本方面提供法律上的援助。
个人信息的泄露已经严重影响到公民的工作和生活,影响到社会经济的稳定。只有尽快出台《个人信息安全保护法》、建立执法体系和完善制度,才能提高我国个人信息保护的意识,规范个人信息的处理行为,促进个人信息的合理利用,打击个人信息的违法犯罪行为,真正保护公民的个人信息权。
(陈永标:重庆市法学会民法经济法副会长。)
参考文献:
1.陈长明.个人信息法几个问题分析[J].云南大学学报, 2010(3).
2.孙超.个人信息,谁来保护[J].今日中国,2010(10).
3.周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
4. 洪海林.个人信息保护立法理念探究-在信息保护和信息流通之间[J].河北法学,2007(1).
个人信息保护立法模式的国际比较与经验借鉴
文 / 柴晓宇
人类社会已经迈入信息化时代,个人信息处理和流动已经成为普遍的现象。个人信息的合理利用在便利人们生活、推动经济社会发展的同时,滥用也到了无以复加的地步,并衍生为严重的社会问题。个人信息是指可识别的与自然人有关的任何信息,个人信息的特征是外延广泛、主体为特定的自然人、具有识别主体的确认功能、是具有价值的重要资源等。发达国家和地区针对个人信息保护立法主要有统一立法、分散立法和统分结合立法三种模式。未来我国个人信息保护法应当采用统一立法模式,对个人信息的定义及范围、基本原则、权利和义务、保护机构和法律责任作出系统规定。并实现个人信息保护法与其他法律法规的有机协调。
一、国际上对个人信息概念的界定
个人信息的概念滥觞于1968年联合国“国际人权会议”中提出的“资料保护”( data protection )。[1]与自然人有关的信息资料在不同的国际公约、条约、文件及各国(地区)立法中有不同的表述,大体上有个人数据、个人信息、个人资料等称谓,例如,“个人数据”是指任何与已经确认的或可以确认的自然人(数据主体)有关的信息;[2]“个人信息”系指与生存者的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分(包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息);[3]个人资料指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他足资识别该个人之数据;[4]虽然称谓不同,但个人数据、个人信息和个人资料等表述实质上均指可识别的与自然人有关的任何信息。因此,三者可以在同等意义上互换使用。
個人信息具有以下特征:(1)个人信息的主体为特定的自然人。个人信息表征的内容指向特定的自然人。(2)个人信息的外延十分广泛。涵盖了自然人生理的、心理的、智力的、个体的、社会的、经济的、文化的等诸多方面,既包括个人特征信息,也包括个人经历信息。包括但不限于姓名、性别、年龄、体重、身高、体貌特征、指纹、血型、手(足)印、基因图谱、人种、国籍、出生地、籍贯、住址、电话号码、电子邮件地址、博客、微信、微博、飞信、QQ和MSN 等即时聊天工具账号、职业、职务、学历、婚姻状况、健康状况、宗教信仰、政治主张、党派倾向、收入及消费习惯等等。(3)个人信息具有识别主体的确认功能。通过姓名、身份证号码、社会保险号码、指纹、DNA等个人信息可以直接识别特定的自然人;或者虽然现有信息不能直接确认特定的自然人,但借助其他信息或对信息进行综合分析,也可以间接识别该自然人。(4)个人信息是具有价值的重要资源。个人信息是自然人表征身份、立足社会和融入社会生活的基础;个人信息是国家实施行政管理和社会管理的重要依据;对于商业机构而言,个人信息资源的开发利用可以促进信用经济的形成;在商务活动中,对个人信息的合理开发利用是企业制定营销战略的首要依据;在国际贸易中,一国有可能以他国“对个人信息保护不力”为由禁止他国在本国境内收集客户信息,以此制造新的贸易壁垒从而使他国企业在国际市场竞争中处于不利地位。
二、滥用个人信息的表现形式及我国个人信息保护立法的现状
在我国,滥用从合法或非法途径获得的个人信息的表现形式多样,危害严重。1.个人信息买卖交易。将手头掌握的个人信息拿来买卖交易而牟取非法利益,由此形成买卖个人信息的“地下产业”。2.对采集到的个人数据进行未经许可的二次开发利用,为细分市场、制定营销战略提供依据,进而实施对重点人群或重点客户的定向强制推销,严重侵犯个人安宁生活的权利。3.擅自公开、传播、散布个人信息,实施造谣中伤、添加不实的损害性评论等侵权行为以及诽谤、侮辱他人人格的犯罪行为。4.盗用他人的个人信息实施诈骗等违法犯罪活动,造成个人信息主体财产损失,危及个人信息主体生命安全。5.境外势力通过对特定人群个人信息的非法采集,以此刺探科技情报和经济情报,严重威胁我国国防安全和经济安全。 目前,在我国没有专门的个人信息保护法,涉及隐私的个人信息主要以人格权、隐私权等形式来加以保护。相关规定散见于宪法、民事法律及司法解释、刑事法律、诉讼法律、行政法律法规或规章之中。具体包括:《宪法》、《民法通则》和《侵权责任法》公民一般人格权和隐私权保护的规定;《刑法》对诬告陷害、侮辱诽谤他人犯罪,非法搜查和非法侵入犯罪、侵犯公民通信自由权利犯罪、出售、非法提供、非法获取公民个人信息犯罪的规定;《民事诉讼法》、《刑事诉讼法》、《行政诉讼法》和《预防未成年人犯罪法》就涉及个人隐私案件的不公开审理作出了规定;《律师法》和《公证法》就保守当事人个人隐私作出了规定;《未成年人保护法》、《妇女权益保障法》和《消费者权益保护法》分别就未成年人个人隐私、妇女人格权和消费者人格权保护作出了规定;《居民身份证法》、《护照法》、《统计法》、《社会保险法法》、《商业银行法》、《反洗钱法》、《劳动争议调解仲裁法》、《传染病防治法》、《执业医师法》、《邮政法》等法律就个人信息保密和个人隐私保护分别作出了规定;《中华人民共和国电信条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《计算机信息网络国际联网管理暂行规定实施办法》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网电子公告服务管理规定》、《互联网电子邮件服务管理办法》、《个人信用信息基础数据库管理暂行办法》等法规、规章对个人信息保护事项作出了规定。
综观我国个人信息保护立法现状,不足之处在于:1.我国涉及个人信息保护的法律法规数量庞杂,相互之间缺乏系统性和协调性,相关制度不够健全、监督和救济机制不尽完善,个人信息主体的权利难以得到全面有效的保护。2.缺乏一部专门的规范个人信息保护的龙头法律——《个人信息保护法》,个人信息的定义、个人信息的范围、个人信息保护原则、个人信息保护执法主体、个人信息主体和个人信息采集管理主体的权利义务、法律责任及救济等不甚明确或不够完善,不利于对滥用个人信息违法犯罪行为的打击制裁和对个人信息主体合法权益的保护。3.我国宪法和法律中关于个人信息的保护规定,主要是从保护一般人格权和隐私权的角度进行规范,并未涵括一般人格权和隐私权之外的大量个人信息。《刑法修正案(七)》雖然新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,但是两罪规定的犯罪主体范围过窄,不能涵盖所有出售或者非法提供公民个人信息的主体。另外,构成该罪必须达到“情节严重”的标准不具有可操作性。4.我国《民法》、《刑法》和《侵权责任法》等法律关于涉及个人信息保护的规定大部分属于事后救济规范,无法实现对个人信息采集、保管和利用等环节的全流程监管;有关涉及个人信息保护的行政法律和行政法规多数也是原则性规定,缺乏操作性;我国业已出台的与利用互联网有关的个人信息保护行政法规和规章效力层级较低,执行起来难度很大,难以有效遏制利用网络滥用个人信息的违法行为。
三、全球个人信息保护立法概况
个人信息滥用是世界各国面临的难题。为了遏制个人信息滥用现象,世界上已有50多个国家和地区制定了个人信息保护法律,以下择要予以介绍。
(一)美国
美国是世界上最早提出隐私权理论[1]并通过判例和立法对隐私权进行保护的国家,但是美国并无个人信息保护方面的专门法律。美国对于个人信息保护采取的是分散立法的模式,相关规定散见于众多法案之中。主要有:1966年制定并经1996年修正的《信息自由法》(Freedom of Information Act)、1970年《公平信用报告法》(Fair Credit Reporting Act)、1974年《隐私权法》(The Privacy Act)(1988年修订)、1986年《电子通信隐私法》、1988年《录像带隐私保护法》(Video Privacy Protection Act)、1996年《公平信用报告法革新案》、1998年《儿童网上隐私保护法》(Children’ Online Privacy Protection Act)等。
在保护个人信息方面比较重要的两部法律是 《信息自由法》和 《隐私法》。《信息自由法》 确立了政府信息以公开为原则,在其九项免除公开的文件类型中,有两项是关于个人资料的规定:一是公开后可能明显地侵犯个人隐私权的人事的、医疗的以及类似的档案;二是不正当地侵犯个人的隐私权的执行法律的记录和信息。[2]美国《隐私权法》共有22条,包括定义、提供档案材料的条件、提供档案材料的记录、使用档案材料的权利、机关要求、机关规章、民事补救、合法监护人的权利、刑事处罚、一般例外、特种例外、档案馆的档案、政府订约人、通讯名单、匹配协议、审核及对事实认定的抗辩机会、限制、新的系统和匹配程序的报告、双年底报告、其他法律的影响、资料完善委员会、管理和预算局的职责等条文。[3]其主要内容可以概括为:(1)适用范围。该法适用于行政机关,包括一般行政机关、军事机关、政府设立的法人、政府控制的法人和具有管制权的法人。但是该法仅限于联邦部会级以上的机构,而不及于部会以下的行政机构或州政府的各级行政机构。(2)保护客体。该法的保护客体是个人被政府机关掌控的“记录系统”(system of records)中的“个人记录”。(3)个人权利。信息主体享有决定是否公开自己信息的权利、有了解自己个人信息的权利和更正自己个人信息的权利。(4)行政机关的义务。直接收集义务、告知义务、遵守必要范围义务、保密义务、资料品质义务、安全义务。[4]
(二)德国
德国黑森州于1970年颁布了世界第一部个人信息保护立法——资料保护法。德国国会于1970 年起着手制定联邦资料保护法草案,经过长达6 年的反复讨论与修改,联邦个人资料保护法最后于1976 年全文通过,1977 年生效。该法的正式名称是《防止个人资料处理滥用法》(人们习惯称其为《联邦资料保护法》),共有六章47个条文,分为总则、公务机关的资料处理、非公务机关为自己目的的资料处理、非公务机关为他人目的的营业性资料处理、罚则、过渡与例外条款。[5]该法生效后,历经1980年、1990年和2001年三次修正。在此期间,在德国发生了著名的“人口普查法案”宪法诉讼,[6] 该案的判决由于确立了公民的“信息自决权”而成为德国个人信息保护发展史上具有里程碑意义的事件。1983年判决确认的信息自决权的核心内容有三:第一,法律保护建立于个人资料之上的一般人格权;第二,以上权利的限制只能由法律作出;第三,个人资料的收集应受严格的、具体的明确的目的限制。宪法判决关于信息自决权的规定,奠定了个人资料保护的宪法基础。受联邦宪法法院1983 年判决的影响,德国对个人资料保护法进行了再一次修订并于1990年12月完成修正并公布,修正后条文减为五章44条,内容更为充实,理念得到了很大程度的更新。这次修正将国家安全机关对个人资料的收集与处理纳入了个人资料保护法。[1]根据欧盟《资料保护指令》的要求,德国议会对《1990 年联邦资料保护法》进行了修订并于2001 年5 月23 日通过了修改后的《联邦资料保护法》。相较于《1990 年联邦资料保护法》,《2001 年联邦资料保护法》扩大了个人信息保护法的适用范围,首次将非公有领域的、非商业性的信息行为纳入调整范围。适用范围的扩大还表现在加强规范力度方面,具体而言是指将禁止收集原则、直接收集原则、目的特定原则的适用范围从国家机关扩大到了非国家机关。州层面的地方立法和针对具体行业个人信息保护问题进行的专门立法也是德国个人信息保护法律的组成部分。美国“911 事件”之后,德国以反恐为名扩大了国家机关收集或处理个人信息的权限,相关规定主要体现在《打击恐怖主义法》(2002 年)、《打击恐怖主义补充法》(2007年)、《电信监视法》(2007 年)等法律之中。[2] (三)日本
日本现行的个人信息保护法律包括:《个人信息保护法》、《关于保护行政机关所持有之个人信息的法律》、《关于保护独立行政法人等所持有之个人信息的法律》、《信息公开与个人信息保护审查会设置法》以及《对〈关于保护行政机关所持有之个人信息的法律〉等的实施所涉及的相关法律进行完善等的法律》五部法律(又被称为“个人信息保护关联五法”)。其中,《个人信息保护法》[3]针对公共部门和非公共部门规定了保护个人信息的若干共同事项(包括个人信息保护的基本原则、个人信息本人的权利、救济途径、罚则、例外事项等),《关于保护行政机关所持有之个人信息的法律》和《关于保护独立行政法人等所持有之个人信息的法律》则适用于公共部门和行使行政职权的特殊法人,而对于非公共部门,则仍主张应尽可能针对其具体情况制定个别法或者加强其自律。同时,设置了信息公开与个人信息保护审查会,将原来负责政府信息公开复议工作的“信息公开审查会”的职能纳入其中,由该审查会对有关行政机关处理的涉及政府信息公开与个人信息保护的复议案件进行咨询。[4]日本是个实行地方自治的国家,大多数的地方政府和地方自治团体都相继制定了个人信息保护的地方条例、规则或规程,以此加强对个人信息的保护。随着2005 年4 月《个人信息保护法》的全面实施,意味着日本构筑了一个相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系:除作为基本法的《个人信息保护法》外,对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。[5]
(四)韩国[6]
韩国2011年《个人信息保护法》采取的是对公共部门和民间部门统一立法的模式,该法共分为9章75条,由总则、个人信息保护政策的树立、个人信息的處理、个人信息的安全管理、信息主体的权利保障、个人信息纷争调停委员会、个人信息团体诉讼、附则、罚则等章节组成,主要有如下几个方面的特色:(1)扩大了个人信息保护法的适用范围。除其他法律有特别规定的情况以外,适用于所有个人信息处理者。(2)确立了个人信息保护的基本原则。韩国宪法法院通过判决使“个人信息自决权”成为一项宪法权利。个人信息保护的基本原则有:①个人信息的收集者,应明确个人信息的处理目标,并在实现目的必要的最小范围内适法、正当地收集个人信息。②个人信息处理者应在处理个人信息的必要范围内,适当处理个人信息,不能以目的外的用途使用。③个人信息处理者应在处理个人信息目的的必要范围内,保证个人信息的正确性、完整性和最新性。④个人信息处理者应根据个人信息的处理方法及种类等,考虑信息主体权利受侵害的可能性和危险程度,安全管理个人信息。⑤个人信息处理者应公开个人信息处理方针等关于个人信息处理的事项,并保障阅览请求权等信息主体的权利。⑥个人信息处理者应以对信息主体私生活的侵害最小化的方法处理个人信息。⑦个人信息处理者在对个人信息的匿名处理可能的情况下,应做到匿名处理。⑧个人信息处理者应通过遵守和实践本法和相关法令规定的责任和义务,致力于得到信息主体的信赖。(3)构建了全方位的个人信息保护体系。①个人信息事前预防制度。一是设立了专门的个人信息保护委员会,主要审议个人信息保护基本计划或施行计划、制度及法令的完善、个人信息的利用与提供、法令解释、整改建议等主要事项。二是引入了个人信息影响评价制度。②个人信息的事中保护制度。个人信息保护分为收集、利用、提供和删除等环节,分别规定了个人信息处理者应遵守的具体标准。③个人信息的事后救济制度。一是设立了个人信息纷争调停委员会。个人信息纷争调停委员会既调解因公共机关引起的纷争,也调解因民间部门引起的纷争。二是引入了个人信息泄露通知及申告制。个人信息处理者在处理个人信息时,个人信息的权利或利益被侵害的国民可以向行政安全部长官申告其被侵害事实。行政安全部长官应指定专门的机关受理和处理申告。为此,韩国设立了“个人信息侵害申告中心”,具体受理和处理个人信息侵害案件。三是设立了个人信息团体诉讼制度。
(五)我国台湾地区
1995 年8 月11 日发布的“电脑处理个人资料保护法”和1996年5月1日发布的“电脑处理个人资料保护法施行细则”是我国台湾地区个人信息保护的主要法律。台湾地区“电脑处理个人资料保护法”共有六章,包括总则、公务机关之资料处理、非公务机关之资料处理、损害赔偿及其他救济、罚则、附则,总计45个条文。主要内容包括:(1)适用范围。该“法”只适用于公务机关和非公务机关使用电脑或自动化机器处理的个人资料(第1、3条)。(2)当事人的权利。当事人享有查询及请求阅览、请求制给复制本、请求补充或更正、请求停止电脑处理及利用、请求删除的权利(第4条)。(3)个人资料收集及利用。个人资料的收集利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围(第6条)。(4)公务机关和非公务机关的义务。(5)损害赔偿和救济。公务机关违反该“法”规定非因天灾、事变或其他不可抗力致当事人权益受损害,应负损害赔偿责任(第27条)。非公务机关违反该“法”规定致当事人权益受损害,并不能证明无故意或过失的,应负赔偿责任(第28条)。被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为恢复名誉之适当处分(第27条)。[1]
(六)我国香港特别行政区
《个人资料(私隐)条例》是香港保护个人资料的重要法例。该条例于1996年12月20日起实施,历经1997年、2007年两次修订。共分十部73条,还包括6个附表。各部为:第一部导言、第二部执行、第三部实务守则、第四部数据用户申报表及数据用户登记册、第五部个人资料的查阅及更正、第六部个人资料等的核对程序及转移、第七部视察、投诉及调查、第八部豁免、第九部罪行及补偿、第十部杂项条文。6个附表分别为保障资料原则、专员的财务事宜等、订明信息、规定须进行或准许进行的核对程序所根据的各条例的条文、订明事宜、授权个人资料私隐专员在不告知有关数据用户的情况下进入指明处所的手令和授权个人资料私隐专员进入指明住宅处所的手令。 《个人资料(私隐)条例》的主要内容有:(1)保障资料原则。包括收集个人资料的目的及方式、个人资料的准确性及保留期间、个人资料的使用、个人资料的保安、查阅个人资料等原则。(2)资料当事人的权利。资料当事人享有查阅和要求提供复本的权利、要求改正资料的权利、向专员投诉的权利、获得补偿的权利。(3)数据用户的义务。数据用户除了依要求提供查阅和进行资料修正外,还负有以下义务:删除不再需要的个人资料、备存纪录簿、依要求停止在直接促销中的使用。(4)个人资料私隐专员。专员由行政长官委任,行使监察及监管、视察、进行联络及合作等职能及权力(5)罪行及补偿。[2]
四、全球個人信息保护立法模式之比较
综观世界各国(地区)对个人信息保护立法的现状,主要有统一立法、分散立法和统分结合立法三种立法模式。统一立法模式是指通过一部统一的法律来规范公共机构或私营部门对个人信息的处理行为。统一立法模式以德国最为典型。分散立法模式是指针公共领域和非公共领域的个人资料分别立法,以此规范个人信息处理中的各种行为。分散立法模式以美国最为典型,美国《隐私权法》的适用范围仅及于行政机关,1970年《公平信用报告法》对消费者信用报告中记载的有关个人信用信息的保护、1974年《家庭教育权和隐私法》对学生教育档案中有关学生个人信息的保护、1988年《电脑资料比对与隐私权保护法》对自动化处理中的个人信息保护、1988年《录像带隐私保护法》对录像带服务供应商对顾客个人信息的保护、1996年《电讯法》对电讯经营者保守财产信息秘密的义务、1996年《儿童在线隐私保护法》对网站或网络服务提供商收集儿童个人信息的条件限制等分别作出了规定。统分结合立法模式是指既有统一适用于公共部门和非公共部门的个人信息保护基本法,又有针对不同政府领域的的单行法,以此调整个人信息处理中的各种法律关系。日本属于统分结合的模式,日本既有统一适用于公共部门和非公共部门的《个人信息保护法》,又有各国家机关、地方公共团体、行政机关、独立行政法人针对不同情况制定的各部门特别法。
以上三种立法模式各有利弊。统一立法模式对公共部门和非公共部门采取同一标准,保证了法律适用的统一性,缺点是比较僵化。分散立法模式区分不同部门和不同领域分别立法,具有较好的灵活性和较强的针对性,缺点是容易导致法治不统一、司法不协调的现象。相比之下,统分结合的立法模式融合了统一立法模式和分散立法模式的长处,是较为理想的立法保护模式。从全球来看,统一立法模式是发展趋势,世界上多数国家都采用了统一立法模式。当然,采用何种立法模式并无统一定制,往往跟一国的国情、立法理念、法律传统和社会基础有关,不能盲目照搬。我国当前正处于社会转型加速和信息化深入发展的历史阶段,社会矛盾凸显、恐怖主义时有威胁,治安管理、社会管理和社会建设任务繁重,公共部门采集个人信息已是常态化的日常工作,非公共部门和个人处理个人信息的现象也非常普遍。我国目前分散的以保护隐私权等一般人格权的法律规定难以有效预防和打击滥用个人信息的违法犯罪行为,滥用个人信息已经成为严重的社会问题。因此,我国应当立足自己国情与法律传统,充分吸收、借鉴发达国家和地区的立法经验,采取对公共部门和非公共部门的个人信息处理行为进行统一立法的模式。在此基础上,可针对特殊部门、特殊行业和特殊领域出台保护个人信息的单行法。
五、我国个人信息保护立法构想
(一)借鉴统一立法模式出台《个人信息保护法》
为了规范各种个人信息处理行为、强化对个人信息的的全面保护,我国迫切需要出台一部保护个人信息的基本法律——《个人信息保护法》。在立法模式和立法体例上,可以借鉴德国的立法经验,采取公共部门和非公共部门统一立法的模式。在立法体例上,采用“总分总”的篇章结构: 即首先界定适用范围、术语含义和基本原则,该部分内容对公、私领域同样适用。继而分章规定国家机关和非国家机关在个人信息收集、存储、处理和利用方面的要求,最后再统一规定法律责任机制。[1]主要内容包括:(1)个人信息的定义与范围。对个人信息可作如下定义:个人信息是指可识别的与自然人有关的任何信息,包括但不限于姓名、出生年月以及其他内容而可以识别出特定个人的部分,包括自动或者非自动方式处理的各种个人信息。这种概括列举式的规定具有一定的开放性,好处在于可以将随着科技发展而增加的个人信息类型纳入全面保护的范围。个人信息主体应当包括生存着的和已死亡的自然人。之所以将已死亡的自然人的个人信息也纳入保护范围,原因在于如果承认个人信息之上存在人格利益,就应当对已死亡的自然人的个人信息实行一体保护,尤其是涉及已死亡的自然人的隐私等个人信息时更应如此,对此我国司法解释已对死者的隐私等人格利益保护作出了明确规定。(2)关于个人资料保护的原则。可以参照经济合作与发展组织(OECD)、欧盟和德国的做法,确立我国个人信息保护的原则,这些原则包括:①直接原则。应该直接向个人信息主体本人收集个人信息。②目的明确和限制利用原则。收集个人信息的目的应该在收集之前列明,并且随后的使用应限于实现这些目的。③信息品质原则。个人信息处理应做到:公正、合法的收集和处理;基于特定、明确、合法的目的收集、处理信息;个人信息的收集和处理必须充分和相关,不能过度,不能超越目的范围;必须完整、准确,并保持信息最新状态;以可识别的信息主体允许的形式保存。④禁止收集原则及其例外。除非法律另有规定,否则禁止收集、处理个人信息。但以下情形除外:国家机关为履行公共职责需要可以不经个人信息主体同意直接收集处理个人信息;非国家机关在征得个人信息主体同意并声明使用目的的前提下可以收集处理个人信息。因对国家机关公职人员履职情况监督需要,新闻媒体和公民个人无须征得个人信息主体的同意可以收集处理个人信息,但必须遵守法律法规的规定。禁止收集处理涉及种族、政治、宗教信仰、健康状况、性生活和性取向等个人信息。⑤查询和更正原则。个人信息主体有权查询本人信息,有权更正不正确的个人信息。第三方查询公共记录中的个人信息必须严格遵循程序和目的限制的规定。⑥安全保护原则。个人信息应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露。(3)权利和义务。依据个人信息保护的基本原则,国家机关为履行公共职责需要有权收集处理公民个人信息。公共部门和非公共部门对收集处理的个人信息负有保密义务、更正义务等。个人信息主体享有“个人信息自决权”,包括决定权、保密权、知情权、更正权、禁止权、报酬请求权和救济权。(4)个人信息保护机构。国家应当设置统一的个人信息保护委员会,负责个人信息保护法律执行情况的监督,受理与个人资料保护有关的申诉,为个人信息主体提供救济,对个人信息保护行业自律进行指导监督。(5)法律责任。对侵害他人信息的行为,根据情节轻重分别规定民事责任、行政责任或刑事责任。 (二)《个人信息保护法》与其他相关法律的有机协调
我国将来出台《个人信息保护法》还要注意和已有的关于保护个人信息的法律规定保持协调,完善和构建个人信息的事前预防、事中规范、事后救济的保护体系。在《个人信息保护法》对滥用个人信息行为规定民事责任、行政责任和刑事责任的基础上,必须适时修订已有民事法律、行政法律和刑事法律中关于个人信息保护的规定,实现法律之间的有机衔接。(1)与民法、合同法、侵权法等民事法律的协调。例如,对于非公共部门在商务活动中滥用个人信息的行为,个人信息主体可以依据合同法上的附随义务追究违约责任,或者根据侵权法追究侵权责任。故意或过失泄露个人信息的管理者和具体实施侵权行为的侵权人应当承担连带责任。对于滥用个人信息的侵权行为,个人信息主体有权请求侵权人承担侵权责任,造成严重精神损害的,有权请求精神损害赔偿。(2)与行政法律的协调。对于公共部门在履行职责过程中处理个人信息的不当或违法行为,造成严重后果的,应当依法对直接负责的主管人员和其他直接责任人员给予行政处分。侵犯他人个人信息自主权并且情节严重的,可以采取罚款等行政处罚措施予以制裁。(3)与刑事法律的协调。修订《刑法修正案(七)》关于“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定,将两罪犯罪主体的范围拓宽至任何处理个人信息的人员;对《刑法修正案(七)》 关于“情节严重”的规定作进一步细化,使之更具操作性;增设“非法披露公民个人信息罪”,未经个人信息主体同意,非法披露或非法公开个人信息,造成严重后果的,应当追究刑事责任。
(柴晓宇: 甘肃省社会科学院法学研究所副研究员。)
网络环境下的个人信息安全思考
采访 / 林凌 记者 / 凌燕
记者:近几年央视3·15晚会上不断对个人信息的盗用和贩卖现象进行曝光,据中国互联网络信息中心发布的报告称,网上信息泄漏成为了当前个人信息泄漏最主要的途径。个人信息被盗用、甩卖的现象屡禁不止,对社会产生了极其严重的后果,对这个问题,我们是否可以说网络是个人信息泄漏和被出售的最大推手?
林凌教授:可以這么认为。网络成为个人信息泄漏的最大推手主要有三个原因。
第一个首当其冲的就是网络的迅猛发展。有这样一句话很流行:“网络是个人隐私的终结者。”如果隐私都终结了,遑论个人信息保密。其实,个人信息泄漏和利用不是现在才出现的问题,在前网络时代就有了。大概在1995年的时候上海出现了一个信息侵权案件,松下电器公司上海分公司搞了一个有奖推销活动,消费者如果买电器会有机会抽取大奖,在印制宣传广告时,由于工作人员的疏忽,号码弄错了,把别人的私人电话号码印在宣传广告上面,并在《新民晚报》、《解放日报》上公布,这样,使得拥有这个电话号码的机主每天接到大量询问电话,不堪其扰,于是机主上诉法院,法院判其胜诉。从这个事件中我们能了解到,1995年在我国网络还未普及时,因个人信息被利用而引起的信息纠纷问题已经出现了。但是比较普遍和大规模的信息泄漏、个人信息被非法利用则发生于本世纪网络普及之后。2009年的“闫德利事件”比较有代表性。闫德利在北京认识了一杨姓男子,恋爱同居后因不和而分手,但杨姓男子纠缠不休,将闫德利的私房照张贴在闫的老家居住地;在网上以闫的名字注册了博客号,称闫身染艾滋病,曾与279名男性发生过性关系,并公布了他们的手机号码;博客还公布了闫的住址、电话号码、全家福等个人信息。如此一来,闫德利受到了来自网友的各种骚扰,最后杨姓男子受到刑事处罚,被判两年监禁。这样看来,网络时代个人信息被泄漏所产生的严重后果远远超过了前网络时代。
第二个是经济上的原因,现在贩卖个人信息已经成为网络时代的一个重要的产业了。许多机构、组织和个人都开始以贩卖个人信息来牟取暴利。一方面,网络普及提高了社会信息化水平,极大地方便了人们的生活和工作,大家足不出户,便一网打尽天下,网上看报、网上聊天、网上办公、网上转账等已经成为了网络时代e公民的生活方式。另一方面,个人信息泄露风险大大提高了,每个人几乎都遭遇过个人信息被泄露的烦恼。如今,办银行卡、到超市办会员卡、生孩子、买房子、求职等等,都要填写一大堆个人资料,这些信息经常会被莫名泄漏,随后就接到各种推销电话、网络邮件、广告单等,甚至接到诈骗电话。个人信息贩卖市场的畸形繁荣,还催生出个人信息贩子。2012年3月20日,北京市大兴区法院开庭审理了一桩网络倒卖个人信息案。被告人吴春魁原本在北京从事销售工作,无意中在网络上了解到一个所谓挣钱的门路,靠贩卖个人信息赚钱。吴春魁觉得这是一个成本低见效快的职业,于是,他开始通过网络QQ群从别人那里以每条5分钱左右的价格买入信息,又以每条1角钱转手销售。在一年多的时间里,吴春魁靠贩卖他人信息非法获利2万元。有些人通过贩卖他人信息赚钱,走上了犯罪道路。
第三个是我们在法律规定上还不太明确。目前,网络法制管理的困境可以用两句话概括:网络技术的创新领先于人们对网络的认知,人们对网络的认知又领先于网络立法。在网络技术创新过程中,人们对技术创新所带来的社会影响往往缺乏明确预判,比如使用微博传播技术后,会给中国舆论生态和社会发展带来什么后果,我们当时是不知道的,微博发展如此迅速,受到这么多网友的青睐和欢迎也是我们始料未及的。而网络立法又总是等网络出现很多问题,而这些问题已经产生了很严重的社会后果,且其他手段难以解决时,才会出台相应的法律去规范。从这个层面上来看,法律难以解决网络上最新出现的各种问题。在我们讨论的个人信息保护领域里同样如此,网络个人信息泄露方式的多样性、创新性与法律规定的相对滞后性,致使有人钻法律空子、打擦边球,逃避法律的有效监管,大量泄露和贩卖个人信息。
所以,应该说个人信息的泄漏与被贩卖存在着经济、社会、科技等多方面原因,但归根结底是网络迅猛发展与监管缺失造成的。
记者:除了您提到的网络个人信息泄漏所造成的后果比前网络时代的后果更为严重之外,网络环境下个人信息的安全问题还有哪些不同于前网络时代的特征? 林凌教授:第一,个人化向组织化发展的倾向。从最近几年我国发生的网络信息泄露事件来看,对个人信息的采集已经出现分工负责、分工合作和流水化作业的特点,少数犯罪分子为了牟取暴利或达到其他社会目的,合作收集用户的各种信息,进行贩卖。一些单位和部门的工作人员甚至与犯罪分子勾结,通过倒卖公民个人信息获取非法的经济利益,这种行为已经形成了一条地下产业链,这是非常可怕的。第二,人工向技术的发展。网络世界中窃取用户个人信息的行为手段在高科技的支撑下趋于智能化和隐蔽化,不仅网上侵权行为可以在瞬间完成,而且能够不留下任何痕迹。以黑客为例,他们往往通过各种技术手段,如利用网站定制的应用程序里隐藏的缺陷和漏洞,窃取网络用户的私人信息。曾有一位名叫RaphaelGray的18岁青年黑客曾经侵入美国、加拿大、泰国、日本、英国等国家的9个电子商务站点,窃取了超过2.6万个信用卡账户的信息。其中还包括号称世界首富比尔·盖茨的信用卡号。
记者:在现代经济利益的驱动下,个人信息成为了非法出售的“商品”,而网络是我们个人信息泄漏最主要的渠道,因此,治理网络环境下的信息泄漏成为了关键。那目前个人信息网络泄漏最常见的方式有哪些?
林凌教授:如果从泄漏的主体上来分,可以分为主动泄露和被动泄漏。所谓主动泄漏是指公民在无意中将自己的个人信息主动泄露给网站或他人,比如在网上浏览、咨询或购物时,常常需要填写一系列表格以确定浏览者的身份,这些个人资料包括:姓名、性别、年龄、身份证号码、电话、通信地址等敏感信息。然而收集这些信息的网站不但不能说明需要这些信息的原因、使用目的及处置方式,还把过期的或者多余的个人信息随意丢弃,造成数据泄漏。所谓被动泄漏是指违法者通过黑客、病毒、木马侵入等手段非法盗用和贩卖个人信息。比如一些网络服务商通过cookies软件来非法收集并建立用户个人上网资料数据库,之后出于经济利益的考虑,将其贩卖出售。第二,从网络发展的特点上看,网友的人肉搜索是个人信息“赤裸”的一个很大的因素,这可以分成恶意、善意和既无恶意也无善意三种情况。比如2001年,有人在猫扑社区贴出一张美女照片,声称该美女是其女友。这张照片很快引起猫扑社区网民的兴趣,他们迅速启动人肉搜索,查找该女子的真实身份,结果,有人查清该女孩为微软的女代言人陈自瑶,并贴出了她的个人资料,这种情况就是既无恶意也无善意的,仅仅是为了满足网民个人的窥探心理。而2006年以后,人肉搜索逐渐成为网民惩恶扬善、挖掘隐私和施展暴力的工具,社会影响力越来越大。如2006年的“踩猫事件”、2007年的“史上最毒后妈事件”及“铜须门事件”、2008年的“艳照门事件”、被称为“人肉搜索第一案”的“王菲案”以及“5·12”汶川大地震期间的“辽宁女骂人事件”、“重庆女孩事件”、2009年的“躲猫猫事件”等都是人肉搜索的典型例子。一方面,人肉搜索查明事情真相,曝光官员贪污腐败和弄虚作假的恶行,维护了社会公正公平和法律尊严,赢得了大量支持声和喝彩声;另一方面,人肉搜索无视法律规定,搜索无辜,曝光隐私,恶语相加,甚至指鹿为马,演变成网络群体性事件,正成为新的社会不稳定因素。
记者:针对您分析的这几种常见方式,是否可以找到防止侵害的办法呢?
林凌教授:首先,我们可以利用技术手段为我们的网络安全建起屏障。目前,国外许多公司正在积极研究、开发这类技术与产品。美国TopLaye公司研制了IP数据流侦听设备产品,凭借硬件上的优势,可以对2.5G以上的网络数据流进行实时侦听采集;以色列ECTEL公司研制了IP网络文字,特别是IP语音的搜索与还原技术及产品;德国Cobion公司2003年推出了网络图像分析技术,如:多信息视觉特征识别、脸部检测和识别、图像分类器、图像相似性、可见的裸体检测等方面的技术,已建立了欧洲最大的网络信息搜集分析中心。这无不说明,技术调控日益受到各国重视,成为网络信息管理的重要方法之一。因此,努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。其次,加强针对网络个人信息侵害的法律保护。我国应当尽快建立以政府为主导的强制性的立法介入模式,为我们的网络安全提供强有力的保护。而实现依法治理的关键是解决条块分割管理。现有网络法律法规多为单行法,且大多是专门规范某类网络行为的法律法规,一方面容易造成法律法规繁多甚至冲突,另一方面在某些方面又容易出现立法真空。在执法过程中,每个部门都依据所主管的领域制定的单行法规执法,容易造成法规冲突,另一方面,部门之间推卸责任,不能使网络监管真正落到实处。另外,应当进一步明确基础电信企业监管信息传播的法律责任。中国电信、中国移动和中国联通等大型国有企业既掌握网络接入服务业务,又从事网络内容服务业务,按照有关规定,这些企业对网络服务内容实行自我监管。从监管效果看,这些企业普遍存在监管不到位的问题,致使一些网络信息没有经过审查和监管,就轻易上线。因此,必须严格规范基础电信企业的监管责任,明确处罚细则,促使其依法严格行使检查终端用户的监管责任。第三,加强对行业部门的管理。首先,在金融、电信、交通、教育、医疗等涉及公民个人信息较多的部门,应该根据本行业的工作性质与行业特征,建立问责制和更加严格、严密的管理制度,防止信息泄露。其次,互联网行业也应当制定出有关保护个人隐私的行业规则和规章,进一步明确商业网站的法律责任,使其明确承诺对用户敏感信息的保护。第四,公安部门加大力度对非法倒卖个人信息的打击。针对侵害公民个人信息违法犯罪,我国日前首次开展大规模集中行动进行严厉打击。截至目前,公安机关已抓获犯罪嫌疑人1936人,刑事拘留978人,挖出非法出售公民个人信息的“源头”44个。由此可见,打击侵害公民个人信息犯罪的集中行动效果显著,对此公安部门应当继续保持这一高压态势。
记者:国外在针对网络空间个人信息保护上,有没有可以借鉴的经验?
林凌教授:国外在针对网络空间个人信息保护上,十分注重发挥法律的保护作用。欧美各国在20世纪70年代就开始完善个人信息保护的相关法律。到了20世纪80年代,经济合作开发组织(OECD)理事会从协调各国法律规定的角度出发,颁布了《关于保护隐私和个人数据国际流通的指南》。此后世界各国都开始迅速制定和完善本国关于个人信息保护的法律。而不同国家对个人信息的保护模式并不相同,美国主要通过分散立法与以企业自律和行业自治为主导的信息隐私保护体制对个人信息提供法律保护。欧盟作为最早关注个人信息保护的区域性组织之一,先后制定了多部公约,通过这种统一立法以及以国家为主导的自上而下的个人信息保护体制对个人信息提供保护。邻国日本则制定了《个人信息保护法》,并根据这部法律的基本理念,相继制定并颁布了针对行政机关、独立行政法人等持有个人信息机关的四部法律。值得注意的是《个人信息保护法》的制定并不是一蹴而就的,而是在经历了很长一段时间的摸索和实践中不断完善和发展起来的。据日本总务省调查统计,截至2000年4月1日,共有1748个地方公共团体制定了相关个人信息保护条例;截至2003年,大多数地方政府均制定了《个人信息保护条例》。2005年,作为个人信息保护基本法的——《个人信息保护法》最终在日本实施。因此,纵观世界上其他国家和地区对个人信息的法律保护,我国可借鉴他国和地区成功的立法经验,结合我国的法律体系特點,尽快制定符合我国目前互联网发展特点的个人信息保护法律。 记者:作为普通的公民,我们自身可以从哪些方面来保护自己的个人信息?
林凌教授:公民对个人信息保护的认识还比较薄弱,因此,增强公民的个人信息保护意识,提升公民的自我保护能力是首要任务。一方面要通过各种宣传途径使网民意识到个人信息安全的重要性和一旦泄露的危害性,另一方面要通过各种方式的教育培训来增加网民网络知识,提高其自我保护能力。现阶段,我国对个人信息的保护还停留在名誉权保护规范之内。仅仅公开他人隐私,而没有造成“损害”后果的,则不予追究责任。在司法实践活动中,往往是出现了类似个人名誉受到损害,个人信息被恶意曝光,且造成了侵害恶果时,才由法院根据相关司法解释对案件进行审理。这一定程度上使公民错误地认为只要个人名誉不受损害,个人信息曝光并不是一件严重的事情。实际上,由于网络空间的广泛性和信息传输的迅捷性,公民的隐私一旦在网上被披露,有可能被不法分子直接贩卖非法获利,甚至衍生出电信诈骗、非法討债、绑架勒索等更多犯罪,给当事人带来十分严重的损害后果,并且这种权利受损后还很难得到有效的救济。因此,网络时代我们应当注意提高隐私保护意识,慎重提交个人信息,对网络账户密码的设置不宜过于简单,以防止不法分子轻易盗取,同时也不要随意公开、扩散、传播他人隐私,自觉维护网络秩序。
(林凌:华东政法学院法学院教授。)
信息泄露引发的电话短信诈骗行为之心理分析
文 / 陈国鹏 王莉佳
个人信息泄露问题已成为当今社会的一大难题,手机号码、姓名、性别、住址甚至身份证号码都已成为明码标价的商品在信息市场上随意买卖。倘若这类信息仅是被商家作为不正当的推销手段,则只是多接几个电话被骚扰下,但事实上这些信息也常被不法之徒利用,为诈骗开了方便之门,给百姓的财产和人身安全带来巨大隐患。
当新闻报道有人因为电话短信被骗取多少金额时,作为旁观者总是很奇怪,如此明显的骗局为何总有人上当呢。其实在这些看似简单的诈骗短信电话背后都有着心理技巧的实际应用,而且往往具有以下几种行骗模式。
利用心理应激行骗
这类诈骗电话短信很普遍,而且相较于其他手段更容易被骗子得手,关键在于骗子设置了危机事件。如“家人受伤急需医药费”、“在外地被抢了要求汇款”、甚至“被绑架了要求交赎金”等人身安全遭威胁,或者“信用卡被盗刷个人信息泄露”、“电话欠费涉嫌洗黑钱”、“法院传票强制执行”等财产安全遭威胁的短信或电话,使人突然受到冲击,进入应激状态,容易未仔细考虑便将钱汇至指定账户或者所谓的“安全账户”内,走入了骗徒的圈套。
在危机面前,人自然会进入一种“应激状态”。应激状态是指出乎意料的紧张情况所引起的一种特殊的生理心理状态。其表现是情绪紧张度的增高,主要特征有:精神紧张,交感神经过度兴奋,血液中肾上腺素升高,呼吸短促,血压上升,氧耗量增加,肌肉紧缩等。研究发现,长期或强烈的应激状态会损害认知功能及机体健康[1],同时人的决策能力也相应地会下降。心理应激下的情绪反应主要有焦虑、恐惧、愤怒,在这种强烈的情绪下,人的注意力会变得狭窄,在正常情况下能够注意到的细节这时候也可能注意不到了,自然很难考虑周全再做出决策。此外,应激状态会使人处于一种“行动”的状态,因为肾上腺素、心跳、血压水平的变化就是为“行动”做生理准备的[2]。这个时候人往往坐不住、难以平静,容易冲动之下做出错误的决定。比如,有一种很容易得逞的诈骗手段是假装儿女或孙子给家里人打电话,让家里赶快汇钱,电话里骗子总是说“是我,是我呀”,同时还发出哭泣或痛苦的声音。这种骗术之所以会奏效,是因为“是我”的哭喊声很容易让人处于应激状态,还有动员对方赶快采取支援行动的效果。曾经有让母亲听孩子哭声的实验表明,母亲听到孩子哭泣时有明显的脉搏加快的生理反应,精神处于一种慌乱的状态[3]。正是由于这个原因,骗子制造的“危机”,尤其是接到涉及亲人人身安全的电话短信时,更容易让人一时头脑发昏而被骗,心绪一乱,越是在意便越容易陷入骗子的圈套,在没有仔细核实的情况下就上当受骗。
利用催眠技巧诈骗
说到催眠,大部分人立刻想到的是影视剧中催眠师用怀表在人眼前晃动,然后倒数着让人睡着了,然后催眠者会一五一十地回答催眠师的所有问题,或者是舞台上催眠师把人催眠后,人会乖乖把钱包交出,完全听从催眠师的指令做出各种不寻常的动作。其实上面说的这些只是狭义的催眠。广义上讲,催眠是我们在表意识不自知的情况下,已经自我催眠或接受他人的建议,在我们的生活中几乎无处不在[4]。广告、推销、投入到电视情节中随之喜怒哀乐,这些都属于广义的催眠。现代催眠之父艾瑞克森认为,催眠是一种注意力集中的特殊精神状态,是一种高度受暗示性的状态。目前的电话诈骗中就时常会运用到催眠的各种技巧。
1. 假借权威身份建立信任。催眠成功与否并不是由催眠师的技巧决定,而是由被催眠者本身暗示性强弱和是否信任催眠师决定的。越信任,潜意识的自我保护就越薄弱,就越能够遵照催眠师的指令。塑造权威形象是建立信任的快捷途径之一,这就是权威性催眠,即由所谓的专家说出来,往往被社会大众和传媒当作“事实”和“真理”,更容易接受[5]。因此电话的开始,骗子往往冒充权威部门,如电信、银行、公安、法院等告知被害者“电话欠费”“银行卡被盗刷”,并将被害人的姓名、身份证号、家庭地址等个人信息逐一核对,让被害人相信电话就是这些部门打来的。
2.利用通话制造环境气氛。在这类诈骗电话中往往有背景音,如“电信部门”的来电,电话中往往会有营业厅人群的声音;“公安部门”来电,后面常有接警与对讲机的声音、警车鸣笛声;在查询个人信息间隙,还可以听到工作人员敲击键盘查询的声音[2]。这些声音营造出的环境氛围具有催眠效果,让被害者对这些“工作人员”不疑有他,进一步掉进他们的陷阱。
3.强调事态严重造成心理恐慌。建立初步信任之后,电话那端就开始刻意反复强调“身份证被人盗用”“账户透支”“涉嫌洗钱”等的事态严重性。有时为了增强效果,通话过程中还会有“其他警官”用小声但又足够让你听得到的声音提议“和他啰嗦这么多干什么,直接抓回来问”,被害者进入上文所提及的应激状态中,情绪高度紧张,注意力变得狭窄,只想着如何撇清,如何解决这件事,慌不择路下进入骗子设好的陷阱中。 4.语句反复语速适中引导进入催眠。凡是单调、重复、刻板的刺激都能诱发不同程度的催眠。乘车长途旅行就是个例子,长途旅行中单调、重复的车轮转动声会成为催眠性刺激诱人进入催眠状态,在催眠中似乎能听到列车员报站的声音,而对其他声音迷迷糊糊甚至一无所知。电话诈骗中正是用这种重复平稳但单调的语速与受害人进行沟通,以达到引导催眠的效果,尤其是在核对身份证、信用卡号以及后面在ATM机上操作报转账卡号时,“3-3-0-4-……”以这种有微停顿而又无明显间隔的平稳语速报出一连串数字,与催眠引导技巧中“数数”“数台阶”等方法如出一辙。听到这一连串单调、刻板的数字加上之前放下的戒心,便容易不自觉被引导进入浅催眠状态,受害人的视野会变得狭窄、局限,开始只专注停留在眼前,按照电话的指示重复单调机械动作。等回过神发现上当时,回想如何在ATM的操作却怎么也想不起来了,只觉得迷迷糊糊,因为当时可能已经进入了浅催眠状态。
5.保持通话制造判断真空。从家接到电话到ATM机上完成操作,整个过程骗子往往不给人喘息的机会,全程保持通话,还可能会叮嘱“泄露你个人信息的可能就是身边的人”所以要求不与家人朋友联系。因为一旦接触骗子以外的信息源,就很可能使得思维不局限于骗子催眠灌输的这些信息,发现种种疑点进而发觉这是个骗局。就像催眠治疗进行过程中如果突然有铃声响了,就会被一下子拉回来,需要催眠师重新引导进入。因此保持通话就是为了继续让受害者失去判断能力,保持在催眠状态。
利用“登门槛效应”心理行骗
“登门槛效应”(Foot in the Door Technique)源于美国社会心理学家弗里德曼与弗雷瑟所做的一个实验。实验者随机访问一组家庭主妇(A组),请她们把一个小招牌挂在自己家的窗户上。这些家庭主妇们大都愉快地同意了。过了一段时间,实验者再次走访这些家庭主妇,请求她们将一个不太美观的招牌挂在自己的窗户上,她们大都同意了。又过了一些日子,实验者请求这些家庭主妇把一块不仅大而且不太美观的招牌放在院子里,结果依然有超过半数的家庭主妇同意了。相比之下,对随机访问的另一组家庭主妇(B组),直接表示希望将一块不仅大而且不太美观的招牌放在她们的庭院里,结果同意这个要求的家庭主妇的人数只有17%。可以看出,面对别人提出的一个小要求时,我们通常很难拒绝,而实际上这个小要求只是一块敲门砖,一旦接受了这个要求,就仿佛跨进了一道心理上的门槛。当别人再提出一个更高一些的要求时,这个要求就和前一个要求有了承继关系,让人容易顺理成章地接受。这样比一开始就提出较高的要求更容易让人接受,就如同登门槛的时候要一级一级台阶地登,如此才能更加顺利地登上高处一样,这是一种非常有效的心理引导技巧。我们大多数人都过这样的经历,在街头填份调查问卷或试用某样东西,其结果往往会莫名地买一堆并不真正需要的东西,这就是销售人员利用了“登门槛效应”的一种推销活动。“登门槛效应”的应用范围很广,销售、管理、家庭教育等等都有用到,当然,骗子也常常利用它来进行诈骗活动。
比如现在有一档很火的电视节目“中国好声音”,许多人会收到类似的短信:“您的手机号码已被浙江电视台‘中国好声音’栏目组后台抽选为场外幸运观众,将获得由苹果公司赞助提供的奖金68000元人民币与苹果MacBook Pro笔记本电脑一台……”本来这样的短信应该很容易被识破,但是为什么还是会有人上当呢,这就和登门槛效应有关。因为在有幸收到这个“中奖信息”后,“主办方”通常会要求小数额的费用,比如十几块钱的奖品运费,比较容易让人接受,很多人觉得就算被骗也就是十几块钱,“万一”是真的,奖品可是“几千乃至上萬元”,容易产生“用小钱换大钱”的侥幸心理,于是答应付运费,这实际上是进入了“门槛”。但是运费之后往往又有手续费、个人所得税等费用需要受害者一步步往上“登”,当“登”上了一定的高度,受害者就往往会产生出“之前已经付了这许多钱,那就得把奖品拿到再说”的心理,因此,有的时候人们即使会对此产生怀疑却仍旧继续汇款,心存侥幸,直到数额大到令人不能接受,才让他们幡然悔悟为止。
与骗子周旋可谓是一场心理之战,须得知己知彼,才能了解他们伎俩背后的心理学原理。此外,还得做好自己的心理建设,做到当发生危急事件时,能镇静而不慌乱,与亲朋好友一同商量解决,平时多留意新闻报道出现的新型诈骗形式,及时提醒传播给周围的人尤其是家中老人,从而有效预防各种诈骗犯罪的发生。
(陈国鹏:华东师范大学心理与认知科学学院教授,上海市心理学会理事。
王莉佳:同济大学浙江学院心理咨询师。)
【摘要】对于如何保障个人信息安全问题,重庆市法学会民法经济法副会长陈永标针对当下法律缺失、保护不利的现状,提出应尽快出台《个人信息安全保护法》、建立执法体系和完善制度,从而提高我国个人信息保护的意识,规范个人信息的处理行为,以促进个人信息的合理利用,打击个人信息的违法犯罪行为,真正保护公民的个人信息权。甘肃省社会科学院法学研究所副研究员、复旦大学法学院博士柴晓宇,从个人信息保护立法模式的国际比较与经验借鉴的角度,在介绍国外有关个人信息保护的立法经验上对我国个人信息保护立法提出了建设性的思考。华东政法大学法学院教授林凌,针对当下的网络信息环境,剖析了网络信息的迅速发展对个人信息泄露的“推手”效应,对比了网络前时代与网络时代个人信息泄露的特征,并由此提出网络信息下个人信息保护的法律意见。华东师范大学心理与认知科学学院教授陈国鹏和同济大学浙江学院王莉佳合作,从社会心理学角度剖析了由于信息泄露所带来的诈骗活动背后的各种心理机制问题,从而为使加强信息被泄露者的自我防范意识提供了参考意见。
【关键词】 公民个人信息 泄漏 法律保障 国外经验 网络环境 诈骗 心理机制
对我国个人信息安全法律问题的认识与思考
文 / 陈永标
日益严峻的个人信息被泄露、被买卖所造成的公民个人信息权被侵害的现象屡屡发生,层出不穷的个人信息违法犯罪问题已经影响到我国公民的人身、财产安全。经济利益的驱使是直接导致个人信息的被泄露和被买卖的原因之一。一方面,个人信息的买卖能够帮助个人信息买受者带来客户资源和销售市场,了解消费者的消费层次和习惯,向消费者推销商品,给买受者带来直接的经济收益;另一方面个人信息的贩卖者为了经济利益,明码标价出售个人信息给买受者,从而为其带来额外的收入。因此,如何加强个人信息管理、严厉打击个人信息违法犯罪、保护公民的个人信息权,法律的意义是不可忽视的,而综观我国现行的法律规范,其中存在的问题也的确值得讨论。
一、侵权现象分析我国个人信息不安全的成因
(一)关于格式合同中没有约定信息安全条款
个人信息的泄露,最有可能的机构就是电信部门、银行、保险公司、房屋中介及掌握公民个人信息的政府部门、教育部门、市场调查公司、房地产公司等,而个人信息的泄露者获得个人信息的途径往往就是通过订立合同而获得。这种合同往往都是格式合同,例如:《商品房买卖合同》、《贷款合同》等等。由于这些格式合同条款不是与个人协商一致,均没有关于个人信息安全的条款和约定,加之现在我国关于个人信息安全还没有比较完整的法律规定,个人信息安全就合同相对人而言不具有约束力,即合同相对人对个人信息没有法定的保密义务,导致个人信息随意被泄露、被买卖。
(二)收集个人信息缺少有效的制度约束
有关机构和单位超出其办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。这些信息难道是必要的吗?实际上,我们不能排除是收集人员为了出售个人信息而收集个人信息的。更为恶劣的还有在网上非法买卖个人信息的。调查发现,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。由于我国没有关于信息采集的具体要求、具体标准和信息采集后的保密制度,导致个人在办理购房、购车、住院等手续之后,相关个人信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。
(三)没有专门法律规定,不利于个人信息的保护
早在2003年,国务院信息办就委托中国社科院法学所个人数据保护法研究课题组,承担了《个人数据保护法》的研究课题。2005年课题组就已经完成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但时至今日,面對愈演愈烈的个人信息侵权问题,这部法律仍未出台,不能对侵害公民个人信息的违法犯罪行为起到打击和震慑作用,对个人信息的受害人保护是极为不利。
二、个人信息维权普遍存在障碍
(一)追究侵权主体责任难
据2011年12月1日《中国青年报》刊载,该报经调查发现,受访者认为最有可能泄露个人信息的机构是电信部门,然后是“需要注册个人信息的网站”。其他还包括银行、保险公司、房屋中介、掌握公民个人信息的政府部门、教育部门、市场调查公司、房地产公司等。不法分子掌握公民的信息后,由于个人信息的获得途径往往是通过合同的订立而获取,那么个人信息的获得者是单位,而出售个人信息的往往是单位的工作人员。又因为单位的性质不同,国有或事业单位的工作人员比较稳定、容易追查。但一些民营企业的工作人员跳槽严重,往往一些个人信息被出卖后就跳槽或跳槽前把个人信息带走,以致受害者追究责任存在困难。 (二)刑事处罚侵权者范围过窄,没有个人信息保护体系
首先,我国《刑法修正案(七)》中明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。现实生活中,非《刑法修正案(七)》罗列的民办机构,如:房地产公司、物业公司、中介机构、酒店等机构甚至公民个人,将公民个人信息出售、非法提供给他人并造成严重后果的现象屡见不鲜,这些主体尚没有被纳入刑法规定的范围之内。显然,受刑事处罚的侵权者范围过窄,不利于个人信息保护。
其次,我国《刑法》已将泄露个人信息入罪,但制止和震慑泄露信息效果不明显。对泄露个人信息的行为,我们目前虽然有《刑法》的规定,但没有形成对个人信息保护的完整体系,缺少相配套的一般性法律法规。村民委员会、社区、学校、医院、房地产公司、物业公司、中介机构、酒店等机构甚至公民个人,都是个人信息的获取者,都有可能将公民个人信息泄露。但现有刑法仅对承担刑事责任的主体比较狭窄涉及源头的部门和公司,无疑给公民个人信息保护造成了一个大漏洞,遗漏了被刑事处罚者。因为每一个掌握信息的机构和机关,都有确保这些信息安全的义务和责任。所以,仅有刑法修正案(七)、侵权责任法的规定,而对有刑法修正案(七)规定之外的侵权者和侵权责任如何处理,没有规定或相关规定条款过于分散,可操作性差。
(三)侵权者承担责任过轻
公民个人很难知道自己的个人信息在什么时间、什么地点、以什么方式、被谁泄露,所以想要起诉他人泄露自己个人信息的成本非常高,大多数人只能忍气吞声。由于个人信息犯罪的起刑点“情节严重”的判定标准不明晰,亟须细化此法律。由于审查是否构成个人信息犯罪难度大、时间具有不确定性,按照目前的法律规定,侵犯个人隐私权应承担的责任多为停止侵害、消除影响,而获得精神损害赔偿的证明难度非常大。这样一来,由于受害者自己要承担法院民事诉讼的诉讼费用和诉讼代理费用(缺少法律援助)成本过高,所以就算赢了官司,也很难得到适当赔偿。因此,侵权者实际承担的侵权责任就很轻。
(四)现有法律规定严重滞后,不能真正制止个人信息侵权行为
目前,我国涉及保护个人信息的法律大大小小虽有近40部、法规30多部、规章近200部。这些法律规范更多是从事后救济的角度对公民个人信息提供保护,没有关于事先预防的制度和规范性规定,也没有关于事中的控制措施和手段的法律规定。仅仅按照事后救济的规定去维护公民个人信息,就会时间长、途径复杂、需要支付的维权成本非常高,以致许多受害者放弃维权。受害者放弃维权助长了个人信息被非法使用的发生,也难以从根本上防范个人信息被非法使用的行为。所以,个人信息领域的违法行就会屡禁不止,甚至愈演愈烈。
三、关于个人信息安全法律对策的思考
(一)应尽快出台《個人信息安全保护法》
今年7月,工信部发布的《互联网信息服务管理规定(征求意见稿)》明确规定,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息。这是我国工信部就互联网保护个人信息的部门规章,但对个人信息的立法保护,我国还缺乏一部专门的法律。我国的个人信息保护法自2003年起部署起草至今已近九年,但这项立法建议一直未能进入正式的立法程序。而相对欧美等很多发达国家,对个人的隐私、个人数据的保护都有专门的立法保护。
面对个人信息遭泄露行为日渐猖獗的严峻形势,相关部门要充分认识到个人信息保护的紧迫性、重要性,应站在保护公众利益的法律高度,加快《个人信息保护法》的出台。因为,有《个人信息保护法》的明文规定,才能明确个人信息的保护范围、个人信息主体的权利范围、个人信息使用者、管理者的义务和法律责任等内容,真正做到有法可依,才能真正保护公民的个人信息。
我国前阶段破获的一些个人信息买卖案,诸如互联网公司单位等单位员工通过出卖客户个人信息获得非法报酬,仅对员工处罚而没有对企业负责人作出追惩,就是无法可依所致。因此,要达到实质性的惩处信息侵权、保护公民个人信息安全的目的,就必须加快《个人信息保护法》的出台。
(二)建立个人信息采集制度和完善格式合同条款
首先,针对当前个人信息的法律法规内容分散、层级偏低,首先要建立严格的个人信息采集准入管理制度。有关部门、单位要严把个人信息采集准入关,做到采前有登记、采中有监管、采后要备案存档;要建立对个人信息采集者、管理者、使用者的追踪制和负责人问责制,防止个人信息被泄露、被买卖,维护个人的信息安全。
其次,格式合同应完善个人信息保密条款。公民个人与电信、银行、开发商之间等单位订立的合同都是格式合同,这些格式合同的条款都不是公民个人与对方协商一致。由于合同没有关于公民个人信息的保密条款,对方就会以合同没有约定为由对公民的个人信息不予以保密。因此,完善格式合同中公民个人信息保密条款,对合同相对人就有保守个人信息的义务。只有合同上约定了相对人具有保守个人信息、管理个人信息的义务,对其就具有一定的约束力,公民个人信息才有不被泄露的可能。
(三)实行无过错原则,实行举证责任倒置制度
公民个人很难知道自己的信息在什么时间、什么地点、以什么方式、被谁泄露,也没有意识到电信诈骗、非法讨债等犯罪的背后是因为个人信息泄露。等到知道了问题的严重性和后果时,想要起诉他人泄露自己个人信息,在追究民事责任的时候都面临着是起诉单位还是起诉个人的困惑;存在着取证难、举证难且诉讼成本高、收益低的问题,当事人很难依法维护自己的信息权。由于我国在个人信息保护方面还没有出台统一的、专门的《个人信息安全保护法》,个人因信息被泄露诉诸法律还是按照民法通则的原则进行。但我国民法通则第十一条无过错责任原则的适用范围,并不包括个人信息侵权。因此,为保护公民个人信息权、维护公民的合法权益,因信息被泄露诉诸法律有必要实行无过错原则,实行举证责任倒置制度?。 (四)人民法院受理个人信息侵权案件应予免费
我国司法实践中一般将泄露个人信息视为侵犯隐私权的行为。按照现有民事法律规定,确定承担民事侵权责任的方式为损害赔偿、停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔礼道歉、消除影响恢复名誉八种。侵犯个人隐私权应承担的责任多为停止侵害、消除影响,而获得精神损害赔偿的证明难度非常大。这样一来,由于受害者诉讼成本过高,也缺少法律援助,所以就算赢了官司,也很难得到适当赔偿。因此,为保护个人信息安全,人民法院受理个人信息侵权案件应予免费。
(五)开展行业自律、发挥行业协会作用
机动车销售、房产中介、银行保险、通讯电信、小额贷款公司等行业及其从业人员往往有机会接触、掌握大量公民个人信息。但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。由于这些行业有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,应当充分发挥行业协会行业自律的作用,可以部分有效地弥补我国在个人信息保护方面、国内立法的不足。
(六)开展法律援助维护个人信息安全
个人信息实际上就是一种财产,属于个人所有,具备商业价值。一旦侵权行为发生,受害人就可以要求商家承担财产责任。但现有法律没有一个法定的个人信息赔偿数额或标准,不像《产品质量法》关于产品责任的规定那么具体,也不像《道路交通安全法》规定了道路交通事故责任的基本规则那么明晰。个人要取得信息权维权的胜诉除了取证难、举证难、法院免除诉讼费之外,还需要在减轻受害人维权成本方面提供法律上的援助。
个人信息的泄露已经严重影响到公民的工作和生活,影响到社会经济的稳定。只有尽快出台《个人信息安全保护法》、建立执法体系和完善制度,才能提高我国个人信息保护的意识,规范个人信息的处理行为,促进个人信息的合理利用,打击个人信息的违法犯罪行为,真正保护公民的个人信息权。
(陈永标:重庆市法学会民法经济法副会长。)
参考文献:
1.陈长明.个人信息法几个问题分析[J].云南大学学报, 2010(3).
2.孙超.个人信息,谁来保护[J].今日中国,2010(10).
3.周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
4. 洪海林.个人信息保护立法理念探究-在信息保护和信息流通之间[J].河北法学,2007(1).
个人信息保护立法模式的国际比较与经验借鉴
文 / 柴晓宇
人类社会已经迈入信息化时代,个人信息处理和流动已经成为普遍的现象。个人信息的合理利用在便利人们生活、推动经济社会发展的同时,滥用也到了无以复加的地步,并衍生为严重的社会问题。个人信息是指可识别的与自然人有关的任何信息,个人信息的特征是外延广泛、主体为特定的自然人、具有识别主体的确认功能、是具有价值的重要资源等。发达国家和地区针对个人信息保护立法主要有统一立法、分散立法和统分结合立法三种模式。未来我国个人信息保护法应当采用统一立法模式,对个人信息的定义及范围、基本原则、权利和义务、保护机构和法律责任作出系统规定。并实现个人信息保护法与其他法律法规的有机协调。
一、国际上对个人信息概念的界定
个人信息的概念滥觞于1968年联合国“国际人权会议”中提出的“资料保护”( data protection )。[1]与自然人有关的信息资料在不同的国际公约、条约、文件及各国(地区)立法中有不同的表述,大体上有个人数据、个人信息、个人资料等称谓,例如,“个人数据”是指任何与已经确认的或可以确认的自然人(数据主体)有关的信息;[2]“个人信息”系指与生存者的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分(包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息);[3]个人资料指自然人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他足资识别该个人之数据;[4]虽然称谓不同,但个人数据、个人信息和个人资料等表述实质上均指可识别的与自然人有关的任何信息。因此,三者可以在同等意义上互换使用。
個人信息具有以下特征:(1)个人信息的主体为特定的自然人。个人信息表征的内容指向特定的自然人。(2)个人信息的外延十分广泛。涵盖了自然人生理的、心理的、智力的、个体的、社会的、经济的、文化的等诸多方面,既包括个人特征信息,也包括个人经历信息。包括但不限于姓名、性别、年龄、体重、身高、体貌特征、指纹、血型、手(足)印、基因图谱、人种、国籍、出生地、籍贯、住址、电话号码、电子邮件地址、博客、微信、微博、飞信、QQ和MSN 等即时聊天工具账号、职业、职务、学历、婚姻状况、健康状况、宗教信仰、政治主张、党派倾向、收入及消费习惯等等。(3)个人信息具有识别主体的确认功能。通过姓名、身份证号码、社会保险号码、指纹、DNA等个人信息可以直接识别特定的自然人;或者虽然现有信息不能直接确认特定的自然人,但借助其他信息或对信息进行综合分析,也可以间接识别该自然人。(4)个人信息是具有价值的重要资源。个人信息是自然人表征身份、立足社会和融入社会生活的基础;个人信息是国家实施行政管理和社会管理的重要依据;对于商业机构而言,个人信息资源的开发利用可以促进信用经济的形成;在商务活动中,对个人信息的合理开发利用是企业制定营销战略的首要依据;在国际贸易中,一国有可能以他国“对个人信息保护不力”为由禁止他国在本国境内收集客户信息,以此制造新的贸易壁垒从而使他国企业在国际市场竞争中处于不利地位。
二、滥用个人信息的表现形式及我国个人信息保护立法的现状
在我国,滥用从合法或非法途径获得的个人信息的表现形式多样,危害严重。1.个人信息买卖交易。将手头掌握的个人信息拿来买卖交易而牟取非法利益,由此形成买卖个人信息的“地下产业”。2.对采集到的个人数据进行未经许可的二次开发利用,为细分市场、制定营销战略提供依据,进而实施对重点人群或重点客户的定向强制推销,严重侵犯个人安宁生活的权利。3.擅自公开、传播、散布个人信息,实施造谣中伤、添加不实的损害性评论等侵权行为以及诽谤、侮辱他人人格的犯罪行为。4.盗用他人的个人信息实施诈骗等违法犯罪活动,造成个人信息主体财产损失,危及个人信息主体生命安全。5.境外势力通过对特定人群个人信息的非法采集,以此刺探科技情报和经济情报,严重威胁我国国防安全和经济安全。 目前,在我国没有专门的个人信息保护法,涉及隐私的个人信息主要以人格权、隐私权等形式来加以保护。相关规定散见于宪法、民事法律及司法解释、刑事法律、诉讼法律、行政法律法规或规章之中。具体包括:《宪法》、《民法通则》和《侵权责任法》公民一般人格权和隐私权保护的规定;《刑法》对诬告陷害、侮辱诽谤他人犯罪,非法搜查和非法侵入犯罪、侵犯公民通信自由权利犯罪、出售、非法提供、非法获取公民个人信息犯罪的规定;《民事诉讼法》、《刑事诉讼法》、《行政诉讼法》和《预防未成年人犯罪法》就涉及个人隐私案件的不公开审理作出了规定;《律师法》和《公证法》就保守当事人个人隐私作出了规定;《未成年人保护法》、《妇女权益保障法》和《消费者权益保护法》分别就未成年人个人隐私、妇女人格权和消费者人格权保护作出了规定;《居民身份证法》、《护照法》、《统计法》、《社会保险法法》、《商业银行法》、《反洗钱法》、《劳动争议调解仲裁法》、《传染病防治法》、《执业医师法》、《邮政法》等法律就个人信息保密和个人隐私保护分别作出了规定;《中华人民共和国电信条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《计算机信息网络国际联网管理暂行规定实施办法》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》、《互联网电子公告服务管理规定》、《互联网电子邮件服务管理办法》、《个人信用信息基础数据库管理暂行办法》等法规、规章对个人信息保护事项作出了规定。
综观我国个人信息保护立法现状,不足之处在于:1.我国涉及个人信息保护的法律法规数量庞杂,相互之间缺乏系统性和协调性,相关制度不够健全、监督和救济机制不尽完善,个人信息主体的权利难以得到全面有效的保护。2.缺乏一部专门的规范个人信息保护的龙头法律——《个人信息保护法》,个人信息的定义、个人信息的范围、个人信息保护原则、个人信息保护执法主体、个人信息主体和个人信息采集管理主体的权利义务、法律责任及救济等不甚明确或不够完善,不利于对滥用个人信息违法犯罪行为的打击制裁和对个人信息主体合法权益的保护。3.我国宪法和法律中关于个人信息的保护规定,主要是从保护一般人格权和隐私权的角度进行规范,并未涵括一般人格权和隐私权之外的大量个人信息。《刑法修正案(七)》雖然新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,但是两罪规定的犯罪主体范围过窄,不能涵盖所有出售或者非法提供公民个人信息的主体。另外,构成该罪必须达到“情节严重”的标准不具有可操作性。4.我国《民法》、《刑法》和《侵权责任法》等法律关于涉及个人信息保护的规定大部分属于事后救济规范,无法实现对个人信息采集、保管和利用等环节的全流程监管;有关涉及个人信息保护的行政法律和行政法规多数也是原则性规定,缺乏操作性;我国业已出台的与利用互联网有关的个人信息保护行政法规和规章效力层级较低,执行起来难度很大,难以有效遏制利用网络滥用个人信息的违法行为。
三、全球个人信息保护立法概况
个人信息滥用是世界各国面临的难题。为了遏制个人信息滥用现象,世界上已有50多个国家和地区制定了个人信息保护法律,以下择要予以介绍。
(一)美国
美国是世界上最早提出隐私权理论[1]并通过判例和立法对隐私权进行保护的国家,但是美国并无个人信息保护方面的专门法律。美国对于个人信息保护采取的是分散立法的模式,相关规定散见于众多法案之中。主要有:1966年制定并经1996年修正的《信息自由法》(Freedom of Information Act)、1970年《公平信用报告法》(Fair Credit Reporting Act)、1974年《隐私权法》(The Privacy Act)(1988年修订)、1986年《电子通信隐私法》、1988年《录像带隐私保护法》(Video Privacy Protection Act)、1996年《公平信用报告法革新案》、1998年《儿童网上隐私保护法》(Children’ Online Privacy Protection Act)等。
在保护个人信息方面比较重要的两部法律是 《信息自由法》和 《隐私法》。《信息自由法》 确立了政府信息以公开为原则,在其九项免除公开的文件类型中,有两项是关于个人资料的规定:一是公开后可能明显地侵犯个人隐私权的人事的、医疗的以及类似的档案;二是不正当地侵犯个人的隐私权的执行法律的记录和信息。[2]美国《隐私权法》共有22条,包括定义、提供档案材料的条件、提供档案材料的记录、使用档案材料的权利、机关要求、机关规章、民事补救、合法监护人的权利、刑事处罚、一般例外、特种例外、档案馆的档案、政府订约人、通讯名单、匹配协议、审核及对事实认定的抗辩机会、限制、新的系统和匹配程序的报告、双年底报告、其他法律的影响、资料完善委员会、管理和预算局的职责等条文。[3]其主要内容可以概括为:(1)适用范围。该法适用于行政机关,包括一般行政机关、军事机关、政府设立的法人、政府控制的法人和具有管制权的法人。但是该法仅限于联邦部会级以上的机构,而不及于部会以下的行政机构或州政府的各级行政机构。(2)保护客体。该法的保护客体是个人被政府机关掌控的“记录系统”(system of records)中的“个人记录”。(3)个人权利。信息主体享有决定是否公开自己信息的权利、有了解自己个人信息的权利和更正自己个人信息的权利。(4)行政机关的义务。直接收集义务、告知义务、遵守必要范围义务、保密义务、资料品质义务、安全义务。[4]
(二)德国
德国黑森州于1970年颁布了世界第一部个人信息保护立法——资料保护法。德国国会于1970 年起着手制定联邦资料保护法草案,经过长达6 年的反复讨论与修改,联邦个人资料保护法最后于1976 年全文通过,1977 年生效。该法的正式名称是《防止个人资料处理滥用法》(人们习惯称其为《联邦资料保护法》),共有六章47个条文,分为总则、公务机关的资料处理、非公务机关为自己目的的资料处理、非公务机关为他人目的的营业性资料处理、罚则、过渡与例外条款。[5]该法生效后,历经1980年、1990年和2001年三次修正。在此期间,在德国发生了著名的“人口普查法案”宪法诉讼,[6] 该案的判决由于确立了公民的“信息自决权”而成为德国个人信息保护发展史上具有里程碑意义的事件。1983年判决确认的信息自决权的核心内容有三:第一,法律保护建立于个人资料之上的一般人格权;第二,以上权利的限制只能由法律作出;第三,个人资料的收集应受严格的、具体的明确的目的限制。宪法判决关于信息自决权的规定,奠定了个人资料保护的宪法基础。受联邦宪法法院1983 年判决的影响,德国对个人资料保护法进行了再一次修订并于1990年12月完成修正并公布,修正后条文减为五章44条,内容更为充实,理念得到了很大程度的更新。这次修正将国家安全机关对个人资料的收集与处理纳入了个人资料保护法。[1]根据欧盟《资料保护指令》的要求,德国议会对《1990 年联邦资料保护法》进行了修订并于2001 年5 月23 日通过了修改后的《联邦资料保护法》。相较于《1990 年联邦资料保护法》,《2001 年联邦资料保护法》扩大了个人信息保护法的适用范围,首次将非公有领域的、非商业性的信息行为纳入调整范围。适用范围的扩大还表现在加强规范力度方面,具体而言是指将禁止收集原则、直接收集原则、目的特定原则的适用范围从国家机关扩大到了非国家机关。州层面的地方立法和针对具体行业个人信息保护问题进行的专门立法也是德国个人信息保护法律的组成部分。美国“911 事件”之后,德国以反恐为名扩大了国家机关收集或处理个人信息的权限,相关规定主要体现在《打击恐怖主义法》(2002 年)、《打击恐怖主义补充法》(2007年)、《电信监视法》(2007 年)等法律之中。[2] (三)日本
日本现行的个人信息保护法律包括:《个人信息保护法》、《关于保护行政机关所持有之个人信息的法律》、《关于保护独立行政法人等所持有之个人信息的法律》、《信息公开与个人信息保护审查会设置法》以及《对〈关于保护行政机关所持有之个人信息的法律〉等的实施所涉及的相关法律进行完善等的法律》五部法律(又被称为“个人信息保护关联五法”)。其中,《个人信息保护法》[3]针对公共部门和非公共部门规定了保护个人信息的若干共同事项(包括个人信息保护的基本原则、个人信息本人的权利、救济途径、罚则、例外事项等),《关于保护行政机关所持有之个人信息的法律》和《关于保护独立行政法人等所持有之个人信息的法律》则适用于公共部门和行使行政职权的特殊法人,而对于非公共部门,则仍主张应尽可能针对其具体情况制定个别法或者加强其自律。同时,设置了信息公开与个人信息保护审查会,将原来负责政府信息公开复议工作的“信息公开审查会”的职能纳入其中,由该审查会对有关行政机关处理的涉及政府信息公开与个人信息保护的复议案件进行咨询。[4]日本是个实行地方自治的国家,大多数的地方政府和地方自治团体都相继制定了个人信息保护的地方条例、规则或规程,以此加强对个人信息的保护。随着2005 年4 月《个人信息保护法》的全面实施,意味着日本构筑了一个相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系:除作为基本法的《个人信息保护法》外,对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。[5]
(四)韩国[6]
韩国2011年《个人信息保护法》采取的是对公共部门和民间部门统一立法的模式,该法共分为9章75条,由总则、个人信息保护政策的树立、个人信息的處理、个人信息的安全管理、信息主体的权利保障、个人信息纷争调停委员会、个人信息团体诉讼、附则、罚则等章节组成,主要有如下几个方面的特色:(1)扩大了个人信息保护法的适用范围。除其他法律有特别规定的情况以外,适用于所有个人信息处理者。(2)确立了个人信息保护的基本原则。韩国宪法法院通过判决使“个人信息自决权”成为一项宪法权利。个人信息保护的基本原则有:①个人信息的收集者,应明确个人信息的处理目标,并在实现目的必要的最小范围内适法、正当地收集个人信息。②个人信息处理者应在处理个人信息的必要范围内,适当处理个人信息,不能以目的外的用途使用。③个人信息处理者应在处理个人信息目的的必要范围内,保证个人信息的正确性、完整性和最新性。④个人信息处理者应根据个人信息的处理方法及种类等,考虑信息主体权利受侵害的可能性和危险程度,安全管理个人信息。⑤个人信息处理者应公开个人信息处理方针等关于个人信息处理的事项,并保障阅览请求权等信息主体的权利。⑥个人信息处理者应以对信息主体私生活的侵害最小化的方法处理个人信息。⑦个人信息处理者在对个人信息的匿名处理可能的情况下,应做到匿名处理。⑧个人信息处理者应通过遵守和实践本法和相关法令规定的责任和义务,致力于得到信息主体的信赖。(3)构建了全方位的个人信息保护体系。①个人信息事前预防制度。一是设立了专门的个人信息保护委员会,主要审议个人信息保护基本计划或施行计划、制度及法令的完善、个人信息的利用与提供、法令解释、整改建议等主要事项。二是引入了个人信息影响评价制度。②个人信息的事中保护制度。个人信息保护分为收集、利用、提供和删除等环节,分别规定了个人信息处理者应遵守的具体标准。③个人信息的事后救济制度。一是设立了个人信息纷争调停委员会。个人信息纷争调停委员会既调解因公共机关引起的纷争,也调解因民间部门引起的纷争。二是引入了个人信息泄露通知及申告制。个人信息处理者在处理个人信息时,个人信息的权利或利益被侵害的国民可以向行政安全部长官申告其被侵害事实。行政安全部长官应指定专门的机关受理和处理申告。为此,韩国设立了“个人信息侵害申告中心”,具体受理和处理个人信息侵害案件。三是设立了个人信息团体诉讼制度。
(五)我国台湾地区
1995 年8 月11 日发布的“电脑处理个人资料保护法”和1996年5月1日发布的“电脑处理个人资料保护法施行细则”是我国台湾地区个人信息保护的主要法律。台湾地区“电脑处理个人资料保护法”共有六章,包括总则、公务机关之资料处理、非公务机关之资料处理、损害赔偿及其他救济、罚则、附则,总计45个条文。主要内容包括:(1)适用范围。该“法”只适用于公务机关和非公务机关使用电脑或自动化机器处理的个人资料(第1、3条)。(2)当事人的权利。当事人享有查询及请求阅览、请求制给复制本、请求补充或更正、请求停止电脑处理及利用、请求删除的权利(第4条)。(3)个人资料收集及利用。个人资料的收集利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围(第6条)。(4)公务机关和非公务机关的义务。(5)损害赔偿和救济。公务机关违反该“法”规定非因天灾、事变或其他不可抗力致当事人权益受损害,应负损害赔偿责任(第27条)。非公务机关违反该“法”规定致当事人权益受损害,并不能证明无故意或过失的,应负赔偿责任(第28条)。被害人虽非财产上之损害,亦得请求赔偿相当之金额;其名誉被侵害者,并得请求为恢复名誉之适当处分(第27条)。[1]
(六)我国香港特别行政区
《个人资料(私隐)条例》是香港保护个人资料的重要法例。该条例于1996年12月20日起实施,历经1997年、2007年两次修订。共分十部73条,还包括6个附表。各部为:第一部导言、第二部执行、第三部实务守则、第四部数据用户申报表及数据用户登记册、第五部个人资料的查阅及更正、第六部个人资料等的核对程序及转移、第七部视察、投诉及调查、第八部豁免、第九部罪行及补偿、第十部杂项条文。6个附表分别为保障资料原则、专员的财务事宜等、订明信息、规定须进行或准许进行的核对程序所根据的各条例的条文、订明事宜、授权个人资料私隐专员在不告知有关数据用户的情况下进入指明处所的手令和授权个人资料私隐专员进入指明住宅处所的手令。 《个人资料(私隐)条例》的主要内容有:(1)保障资料原则。包括收集个人资料的目的及方式、个人资料的准确性及保留期间、个人资料的使用、个人资料的保安、查阅个人资料等原则。(2)资料当事人的权利。资料当事人享有查阅和要求提供复本的权利、要求改正资料的权利、向专员投诉的权利、获得补偿的权利。(3)数据用户的义务。数据用户除了依要求提供查阅和进行资料修正外,还负有以下义务:删除不再需要的个人资料、备存纪录簿、依要求停止在直接促销中的使用。(4)个人资料私隐专员。专员由行政长官委任,行使监察及监管、视察、进行联络及合作等职能及权力(5)罪行及补偿。[2]
四、全球個人信息保护立法模式之比较
综观世界各国(地区)对个人信息保护立法的现状,主要有统一立法、分散立法和统分结合立法三种立法模式。统一立法模式是指通过一部统一的法律来规范公共机构或私营部门对个人信息的处理行为。统一立法模式以德国最为典型。分散立法模式是指针公共领域和非公共领域的个人资料分别立法,以此规范个人信息处理中的各种行为。分散立法模式以美国最为典型,美国《隐私权法》的适用范围仅及于行政机关,1970年《公平信用报告法》对消费者信用报告中记载的有关个人信用信息的保护、1974年《家庭教育权和隐私法》对学生教育档案中有关学生个人信息的保护、1988年《电脑资料比对与隐私权保护法》对自动化处理中的个人信息保护、1988年《录像带隐私保护法》对录像带服务供应商对顾客个人信息的保护、1996年《电讯法》对电讯经营者保守财产信息秘密的义务、1996年《儿童在线隐私保护法》对网站或网络服务提供商收集儿童个人信息的条件限制等分别作出了规定。统分结合立法模式是指既有统一适用于公共部门和非公共部门的个人信息保护基本法,又有针对不同政府领域的的单行法,以此调整个人信息处理中的各种法律关系。日本属于统分结合的模式,日本既有统一适用于公共部门和非公共部门的《个人信息保护法》,又有各国家机关、地方公共团体、行政机关、独立行政法人针对不同情况制定的各部门特别法。
以上三种立法模式各有利弊。统一立法模式对公共部门和非公共部门采取同一标准,保证了法律适用的统一性,缺点是比较僵化。分散立法模式区分不同部门和不同领域分别立法,具有较好的灵活性和较强的针对性,缺点是容易导致法治不统一、司法不协调的现象。相比之下,统分结合的立法模式融合了统一立法模式和分散立法模式的长处,是较为理想的立法保护模式。从全球来看,统一立法模式是发展趋势,世界上多数国家都采用了统一立法模式。当然,采用何种立法模式并无统一定制,往往跟一国的国情、立法理念、法律传统和社会基础有关,不能盲目照搬。我国当前正处于社会转型加速和信息化深入发展的历史阶段,社会矛盾凸显、恐怖主义时有威胁,治安管理、社会管理和社会建设任务繁重,公共部门采集个人信息已是常态化的日常工作,非公共部门和个人处理个人信息的现象也非常普遍。我国目前分散的以保护隐私权等一般人格权的法律规定难以有效预防和打击滥用个人信息的违法犯罪行为,滥用个人信息已经成为严重的社会问题。因此,我国应当立足自己国情与法律传统,充分吸收、借鉴发达国家和地区的立法经验,采取对公共部门和非公共部门的个人信息处理行为进行统一立法的模式。在此基础上,可针对特殊部门、特殊行业和特殊领域出台保护个人信息的单行法。
五、我国个人信息保护立法构想
(一)借鉴统一立法模式出台《个人信息保护法》
为了规范各种个人信息处理行为、强化对个人信息的的全面保护,我国迫切需要出台一部保护个人信息的基本法律——《个人信息保护法》。在立法模式和立法体例上,可以借鉴德国的立法经验,采取公共部门和非公共部门统一立法的模式。在立法体例上,采用“总分总”的篇章结构: 即首先界定适用范围、术语含义和基本原则,该部分内容对公、私领域同样适用。继而分章规定国家机关和非国家机关在个人信息收集、存储、处理和利用方面的要求,最后再统一规定法律责任机制。[1]主要内容包括:(1)个人信息的定义与范围。对个人信息可作如下定义:个人信息是指可识别的与自然人有关的任何信息,包括但不限于姓名、出生年月以及其他内容而可以识别出特定个人的部分,包括自动或者非自动方式处理的各种个人信息。这种概括列举式的规定具有一定的开放性,好处在于可以将随着科技发展而增加的个人信息类型纳入全面保护的范围。个人信息主体应当包括生存着的和已死亡的自然人。之所以将已死亡的自然人的个人信息也纳入保护范围,原因在于如果承认个人信息之上存在人格利益,就应当对已死亡的自然人的个人信息实行一体保护,尤其是涉及已死亡的自然人的隐私等个人信息时更应如此,对此我国司法解释已对死者的隐私等人格利益保护作出了明确规定。(2)关于个人资料保护的原则。可以参照经济合作与发展组织(OECD)、欧盟和德国的做法,确立我国个人信息保护的原则,这些原则包括:①直接原则。应该直接向个人信息主体本人收集个人信息。②目的明确和限制利用原则。收集个人信息的目的应该在收集之前列明,并且随后的使用应限于实现这些目的。③信息品质原则。个人信息处理应做到:公正、合法的收集和处理;基于特定、明确、合法的目的收集、处理信息;个人信息的收集和处理必须充分和相关,不能过度,不能超越目的范围;必须完整、准确,并保持信息最新状态;以可识别的信息主体允许的形式保存。④禁止收集原则及其例外。除非法律另有规定,否则禁止收集、处理个人信息。但以下情形除外:国家机关为履行公共职责需要可以不经个人信息主体同意直接收集处理个人信息;非国家机关在征得个人信息主体同意并声明使用目的的前提下可以收集处理个人信息。因对国家机关公职人员履职情况监督需要,新闻媒体和公民个人无须征得个人信息主体的同意可以收集处理个人信息,但必须遵守法律法规的规定。禁止收集处理涉及种族、政治、宗教信仰、健康状况、性生活和性取向等个人信息。⑤查询和更正原则。个人信息主体有权查询本人信息,有权更正不正确的个人信息。第三方查询公共记录中的个人信息必须严格遵循程序和目的限制的规定。⑥安全保护原则。个人信息应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露。(3)权利和义务。依据个人信息保护的基本原则,国家机关为履行公共职责需要有权收集处理公民个人信息。公共部门和非公共部门对收集处理的个人信息负有保密义务、更正义务等。个人信息主体享有“个人信息自决权”,包括决定权、保密权、知情权、更正权、禁止权、报酬请求权和救济权。(4)个人信息保护机构。国家应当设置统一的个人信息保护委员会,负责个人信息保护法律执行情况的监督,受理与个人资料保护有关的申诉,为个人信息主体提供救济,对个人信息保护行业自律进行指导监督。(5)法律责任。对侵害他人信息的行为,根据情节轻重分别规定民事责任、行政责任或刑事责任。 (二)《个人信息保护法》与其他相关法律的有机协调
我国将来出台《个人信息保护法》还要注意和已有的关于保护个人信息的法律规定保持协调,完善和构建个人信息的事前预防、事中规范、事后救济的保护体系。在《个人信息保护法》对滥用个人信息行为规定民事责任、行政责任和刑事责任的基础上,必须适时修订已有民事法律、行政法律和刑事法律中关于个人信息保护的规定,实现法律之间的有机衔接。(1)与民法、合同法、侵权法等民事法律的协调。例如,对于非公共部门在商务活动中滥用个人信息的行为,个人信息主体可以依据合同法上的附随义务追究违约责任,或者根据侵权法追究侵权责任。故意或过失泄露个人信息的管理者和具体实施侵权行为的侵权人应当承担连带责任。对于滥用个人信息的侵权行为,个人信息主体有权请求侵权人承担侵权责任,造成严重精神损害的,有权请求精神损害赔偿。(2)与行政法律的协调。对于公共部门在履行职责过程中处理个人信息的不当或违法行为,造成严重后果的,应当依法对直接负责的主管人员和其他直接责任人员给予行政处分。侵犯他人个人信息自主权并且情节严重的,可以采取罚款等行政处罚措施予以制裁。(3)与刑事法律的协调。修订《刑法修正案(七)》关于“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定,将两罪犯罪主体的范围拓宽至任何处理个人信息的人员;对《刑法修正案(七)》 关于“情节严重”的规定作进一步细化,使之更具操作性;增设“非法披露公民个人信息罪”,未经个人信息主体同意,非法披露或非法公开个人信息,造成严重后果的,应当追究刑事责任。
(柴晓宇: 甘肃省社会科学院法学研究所副研究员。)
网络环境下的个人信息安全思考
采访 / 林凌 记者 / 凌燕
记者:近几年央视3·15晚会上不断对个人信息的盗用和贩卖现象进行曝光,据中国互联网络信息中心发布的报告称,网上信息泄漏成为了当前个人信息泄漏最主要的途径。个人信息被盗用、甩卖的现象屡禁不止,对社会产生了极其严重的后果,对这个问题,我们是否可以说网络是个人信息泄漏和被出售的最大推手?
林凌教授:可以這么认为。网络成为个人信息泄漏的最大推手主要有三个原因。
第一个首当其冲的就是网络的迅猛发展。有这样一句话很流行:“网络是个人隐私的终结者。”如果隐私都终结了,遑论个人信息保密。其实,个人信息泄漏和利用不是现在才出现的问题,在前网络时代就有了。大概在1995年的时候上海出现了一个信息侵权案件,松下电器公司上海分公司搞了一个有奖推销活动,消费者如果买电器会有机会抽取大奖,在印制宣传广告时,由于工作人员的疏忽,号码弄错了,把别人的私人电话号码印在宣传广告上面,并在《新民晚报》、《解放日报》上公布,这样,使得拥有这个电话号码的机主每天接到大量询问电话,不堪其扰,于是机主上诉法院,法院判其胜诉。从这个事件中我们能了解到,1995年在我国网络还未普及时,因个人信息被利用而引起的信息纠纷问题已经出现了。但是比较普遍和大规模的信息泄漏、个人信息被非法利用则发生于本世纪网络普及之后。2009年的“闫德利事件”比较有代表性。闫德利在北京认识了一杨姓男子,恋爱同居后因不和而分手,但杨姓男子纠缠不休,将闫德利的私房照张贴在闫的老家居住地;在网上以闫的名字注册了博客号,称闫身染艾滋病,曾与279名男性发生过性关系,并公布了他们的手机号码;博客还公布了闫的住址、电话号码、全家福等个人信息。如此一来,闫德利受到了来自网友的各种骚扰,最后杨姓男子受到刑事处罚,被判两年监禁。这样看来,网络时代个人信息被泄漏所产生的严重后果远远超过了前网络时代。
第二个是经济上的原因,现在贩卖个人信息已经成为网络时代的一个重要的产业了。许多机构、组织和个人都开始以贩卖个人信息来牟取暴利。一方面,网络普及提高了社会信息化水平,极大地方便了人们的生活和工作,大家足不出户,便一网打尽天下,网上看报、网上聊天、网上办公、网上转账等已经成为了网络时代e公民的生活方式。另一方面,个人信息泄露风险大大提高了,每个人几乎都遭遇过个人信息被泄露的烦恼。如今,办银行卡、到超市办会员卡、生孩子、买房子、求职等等,都要填写一大堆个人资料,这些信息经常会被莫名泄漏,随后就接到各种推销电话、网络邮件、广告单等,甚至接到诈骗电话。个人信息贩卖市场的畸形繁荣,还催生出个人信息贩子。2012年3月20日,北京市大兴区法院开庭审理了一桩网络倒卖个人信息案。被告人吴春魁原本在北京从事销售工作,无意中在网络上了解到一个所谓挣钱的门路,靠贩卖个人信息赚钱。吴春魁觉得这是一个成本低见效快的职业,于是,他开始通过网络QQ群从别人那里以每条5分钱左右的价格买入信息,又以每条1角钱转手销售。在一年多的时间里,吴春魁靠贩卖他人信息非法获利2万元。有些人通过贩卖他人信息赚钱,走上了犯罪道路。
第三个是我们在法律规定上还不太明确。目前,网络法制管理的困境可以用两句话概括:网络技术的创新领先于人们对网络的认知,人们对网络的认知又领先于网络立法。在网络技术创新过程中,人们对技术创新所带来的社会影响往往缺乏明确预判,比如使用微博传播技术后,会给中国舆论生态和社会发展带来什么后果,我们当时是不知道的,微博发展如此迅速,受到这么多网友的青睐和欢迎也是我们始料未及的。而网络立法又总是等网络出现很多问题,而这些问题已经产生了很严重的社会后果,且其他手段难以解决时,才会出台相应的法律去规范。从这个层面上来看,法律难以解决网络上最新出现的各种问题。在我们讨论的个人信息保护领域里同样如此,网络个人信息泄露方式的多样性、创新性与法律规定的相对滞后性,致使有人钻法律空子、打擦边球,逃避法律的有效监管,大量泄露和贩卖个人信息。
所以,应该说个人信息的泄漏与被贩卖存在着经济、社会、科技等多方面原因,但归根结底是网络迅猛发展与监管缺失造成的。
记者:除了您提到的网络个人信息泄漏所造成的后果比前网络时代的后果更为严重之外,网络环境下个人信息的安全问题还有哪些不同于前网络时代的特征? 林凌教授:第一,个人化向组织化发展的倾向。从最近几年我国发生的网络信息泄露事件来看,对个人信息的采集已经出现分工负责、分工合作和流水化作业的特点,少数犯罪分子为了牟取暴利或达到其他社会目的,合作收集用户的各种信息,进行贩卖。一些单位和部门的工作人员甚至与犯罪分子勾结,通过倒卖公民个人信息获取非法的经济利益,这种行为已经形成了一条地下产业链,这是非常可怕的。第二,人工向技术的发展。网络世界中窃取用户个人信息的行为手段在高科技的支撑下趋于智能化和隐蔽化,不仅网上侵权行为可以在瞬间完成,而且能够不留下任何痕迹。以黑客为例,他们往往通过各种技术手段,如利用网站定制的应用程序里隐藏的缺陷和漏洞,窃取网络用户的私人信息。曾有一位名叫RaphaelGray的18岁青年黑客曾经侵入美国、加拿大、泰国、日本、英国等国家的9个电子商务站点,窃取了超过2.6万个信用卡账户的信息。其中还包括号称世界首富比尔·盖茨的信用卡号。
记者:在现代经济利益的驱动下,个人信息成为了非法出售的“商品”,而网络是我们个人信息泄漏最主要的渠道,因此,治理网络环境下的信息泄漏成为了关键。那目前个人信息网络泄漏最常见的方式有哪些?
林凌教授:如果从泄漏的主体上来分,可以分为主动泄露和被动泄漏。所谓主动泄漏是指公民在无意中将自己的个人信息主动泄露给网站或他人,比如在网上浏览、咨询或购物时,常常需要填写一系列表格以确定浏览者的身份,这些个人资料包括:姓名、性别、年龄、身份证号码、电话、通信地址等敏感信息。然而收集这些信息的网站不但不能说明需要这些信息的原因、使用目的及处置方式,还把过期的或者多余的个人信息随意丢弃,造成数据泄漏。所谓被动泄漏是指违法者通过黑客、病毒、木马侵入等手段非法盗用和贩卖个人信息。比如一些网络服务商通过cookies软件来非法收集并建立用户个人上网资料数据库,之后出于经济利益的考虑,将其贩卖出售。第二,从网络发展的特点上看,网友的人肉搜索是个人信息“赤裸”的一个很大的因素,这可以分成恶意、善意和既无恶意也无善意三种情况。比如2001年,有人在猫扑社区贴出一张美女照片,声称该美女是其女友。这张照片很快引起猫扑社区网民的兴趣,他们迅速启动人肉搜索,查找该女子的真实身份,结果,有人查清该女孩为微软的女代言人陈自瑶,并贴出了她的个人资料,这种情况就是既无恶意也无善意的,仅仅是为了满足网民个人的窥探心理。而2006年以后,人肉搜索逐渐成为网民惩恶扬善、挖掘隐私和施展暴力的工具,社会影响力越来越大。如2006年的“踩猫事件”、2007年的“史上最毒后妈事件”及“铜须门事件”、2008年的“艳照门事件”、被称为“人肉搜索第一案”的“王菲案”以及“5·12”汶川大地震期间的“辽宁女骂人事件”、“重庆女孩事件”、2009年的“躲猫猫事件”等都是人肉搜索的典型例子。一方面,人肉搜索查明事情真相,曝光官员贪污腐败和弄虚作假的恶行,维护了社会公正公平和法律尊严,赢得了大量支持声和喝彩声;另一方面,人肉搜索无视法律规定,搜索无辜,曝光隐私,恶语相加,甚至指鹿为马,演变成网络群体性事件,正成为新的社会不稳定因素。
记者:针对您分析的这几种常见方式,是否可以找到防止侵害的办法呢?
林凌教授:首先,我们可以利用技术手段为我们的网络安全建起屏障。目前,国外许多公司正在积极研究、开发这类技术与产品。美国TopLaye公司研制了IP数据流侦听设备产品,凭借硬件上的优势,可以对2.5G以上的网络数据流进行实时侦听采集;以色列ECTEL公司研制了IP网络文字,特别是IP语音的搜索与还原技术及产品;德国Cobion公司2003年推出了网络图像分析技术,如:多信息视觉特征识别、脸部检测和识别、图像分类器、图像相似性、可见的裸体检测等方面的技术,已建立了欧洲最大的网络信息搜集分析中心。这无不说明,技术调控日益受到各国重视,成为网络信息管理的重要方法之一。因此,努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。其次,加强针对网络个人信息侵害的法律保护。我国应当尽快建立以政府为主导的强制性的立法介入模式,为我们的网络安全提供强有力的保护。而实现依法治理的关键是解决条块分割管理。现有网络法律法规多为单行法,且大多是专门规范某类网络行为的法律法规,一方面容易造成法律法规繁多甚至冲突,另一方面在某些方面又容易出现立法真空。在执法过程中,每个部门都依据所主管的领域制定的单行法规执法,容易造成法规冲突,另一方面,部门之间推卸责任,不能使网络监管真正落到实处。另外,应当进一步明确基础电信企业监管信息传播的法律责任。中国电信、中国移动和中国联通等大型国有企业既掌握网络接入服务业务,又从事网络内容服务业务,按照有关规定,这些企业对网络服务内容实行自我监管。从监管效果看,这些企业普遍存在监管不到位的问题,致使一些网络信息没有经过审查和监管,就轻易上线。因此,必须严格规范基础电信企业的监管责任,明确处罚细则,促使其依法严格行使检查终端用户的监管责任。第三,加强对行业部门的管理。首先,在金融、电信、交通、教育、医疗等涉及公民个人信息较多的部门,应该根据本行业的工作性质与行业特征,建立问责制和更加严格、严密的管理制度,防止信息泄露。其次,互联网行业也应当制定出有关保护个人隐私的行业规则和规章,进一步明确商业网站的法律责任,使其明确承诺对用户敏感信息的保护。第四,公安部门加大力度对非法倒卖个人信息的打击。针对侵害公民个人信息违法犯罪,我国日前首次开展大规模集中行动进行严厉打击。截至目前,公安机关已抓获犯罪嫌疑人1936人,刑事拘留978人,挖出非法出售公民个人信息的“源头”44个。由此可见,打击侵害公民个人信息犯罪的集中行动效果显著,对此公安部门应当继续保持这一高压态势。
记者:国外在针对网络空间个人信息保护上,有没有可以借鉴的经验?
林凌教授:国外在针对网络空间个人信息保护上,十分注重发挥法律的保护作用。欧美各国在20世纪70年代就开始完善个人信息保护的相关法律。到了20世纪80年代,经济合作开发组织(OECD)理事会从协调各国法律规定的角度出发,颁布了《关于保护隐私和个人数据国际流通的指南》。此后世界各国都开始迅速制定和完善本国关于个人信息保护的法律。而不同国家对个人信息的保护模式并不相同,美国主要通过分散立法与以企业自律和行业自治为主导的信息隐私保护体制对个人信息提供法律保护。欧盟作为最早关注个人信息保护的区域性组织之一,先后制定了多部公约,通过这种统一立法以及以国家为主导的自上而下的个人信息保护体制对个人信息提供保护。邻国日本则制定了《个人信息保护法》,并根据这部法律的基本理念,相继制定并颁布了针对行政机关、独立行政法人等持有个人信息机关的四部法律。值得注意的是《个人信息保护法》的制定并不是一蹴而就的,而是在经历了很长一段时间的摸索和实践中不断完善和发展起来的。据日本总务省调查统计,截至2000年4月1日,共有1748个地方公共团体制定了相关个人信息保护条例;截至2003年,大多数地方政府均制定了《个人信息保护条例》。2005年,作为个人信息保护基本法的——《个人信息保护法》最终在日本实施。因此,纵观世界上其他国家和地区对个人信息的法律保护,我国可借鉴他国和地区成功的立法经验,结合我国的法律体系特點,尽快制定符合我国目前互联网发展特点的个人信息保护法律。 记者:作为普通的公民,我们自身可以从哪些方面来保护自己的个人信息?
林凌教授:公民对个人信息保护的认识还比较薄弱,因此,增强公民的个人信息保护意识,提升公民的自我保护能力是首要任务。一方面要通过各种宣传途径使网民意识到个人信息安全的重要性和一旦泄露的危害性,另一方面要通过各种方式的教育培训来增加网民网络知识,提高其自我保护能力。现阶段,我国对个人信息的保护还停留在名誉权保护规范之内。仅仅公开他人隐私,而没有造成“损害”后果的,则不予追究责任。在司法实践活动中,往往是出现了类似个人名誉受到损害,个人信息被恶意曝光,且造成了侵害恶果时,才由法院根据相关司法解释对案件进行审理。这一定程度上使公民错误地认为只要个人名誉不受损害,个人信息曝光并不是一件严重的事情。实际上,由于网络空间的广泛性和信息传输的迅捷性,公民的隐私一旦在网上被披露,有可能被不法分子直接贩卖非法获利,甚至衍生出电信诈骗、非法討债、绑架勒索等更多犯罪,给当事人带来十分严重的损害后果,并且这种权利受损后还很难得到有效的救济。因此,网络时代我们应当注意提高隐私保护意识,慎重提交个人信息,对网络账户密码的设置不宜过于简单,以防止不法分子轻易盗取,同时也不要随意公开、扩散、传播他人隐私,自觉维护网络秩序。
(林凌:华东政法学院法学院教授。)
信息泄露引发的电话短信诈骗行为之心理分析
文 / 陈国鹏 王莉佳
个人信息泄露问题已成为当今社会的一大难题,手机号码、姓名、性别、住址甚至身份证号码都已成为明码标价的商品在信息市场上随意买卖。倘若这类信息仅是被商家作为不正当的推销手段,则只是多接几个电话被骚扰下,但事实上这些信息也常被不法之徒利用,为诈骗开了方便之门,给百姓的财产和人身安全带来巨大隐患。
当新闻报道有人因为电话短信被骗取多少金额时,作为旁观者总是很奇怪,如此明显的骗局为何总有人上当呢。其实在这些看似简单的诈骗短信电话背后都有着心理技巧的实际应用,而且往往具有以下几种行骗模式。
利用心理应激行骗
这类诈骗电话短信很普遍,而且相较于其他手段更容易被骗子得手,关键在于骗子设置了危机事件。如“家人受伤急需医药费”、“在外地被抢了要求汇款”、甚至“被绑架了要求交赎金”等人身安全遭威胁,或者“信用卡被盗刷个人信息泄露”、“电话欠费涉嫌洗黑钱”、“法院传票强制执行”等财产安全遭威胁的短信或电话,使人突然受到冲击,进入应激状态,容易未仔细考虑便将钱汇至指定账户或者所谓的“安全账户”内,走入了骗徒的圈套。
在危机面前,人自然会进入一种“应激状态”。应激状态是指出乎意料的紧张情况所引起的一种特殊的生理心理状态。其表现是情绪紧张度的增高,主要特征有:精神紧张,交感神经过度兴奋,血液中肾上腺素升高,呼吸短促,血压上升,氧耗量增加,肌肉紧缩等。研究发现,长期或强烈的应激状态会损害认知功能及机体健康[1],同时人的决策能力也相应地会下降。心理应激下的情绪反应主要有焦虑、恐惧、愤怒,在这种强烈的情绪下,人的注意力会变得狭窄,在正常情况下能够注意到的细节这时候也可能注意不到了,自然很难考虑周全再做出决策。此外,应激状态会使人处于一种“行动”的状态,因为肾上腺素、心跳、血压水平的变化就是为“行动”做生理准备的[2]。这个时候人往往坐不住、难以平静,容易冲动之下做出错误的决定。比如,有一种很容易得逞的诈骗手段是假装儿女或孙子给家里人打电话,让家里赶快汇钱,电话里骗子总是说“是我,是我呀”,同时还发出哭泣或痛苦的声音。这种骗术之所以会奏效,是因为“是我”的哭喊声很容易让人处于应激状态,还有动员对方赶快采取支援行动的效果。曾经有让母亲听孩子哭声的实验表明,母亲听到孩子哭泣时有明显的脉搏加快的生理反应,精神处于一种慌乱的状态[3]。正是由于这个原因,骗子制造的“危机”,尤其是接到涉及亲人人身安全的电话短信时,更容易让人一时头脑发昏而被骗,心绪一乱,越是在意便越容易陷入骗子的圈套,在没有仔细核实的情况下就上当受骗。
利用催眠技巧诈骗
说到催眠,大部分人立刻想到的是影视剧中催眠师用怀表在人眼前晃动,然后倒数着让人睡着了,然后催眠者会一五一十地回答催眠师的所有问题,或者是舞台上催眠师把人催眠后,人会乖乖把钱包交出,完全听从催眠师的指令做出各种不寻常的动作。其实上面说的这些只是狭义的催眠。广义上讲,催眠是我们在表意识不自知的情况下,已经自我催眠或接受他人的建议,在我们的生活中几乎无处不在[4]。广告、推销、投入到电视情节中随之喜怒哀乐,这些都属于广义的催眠。现代催眠之父艾瑞克森认为,催眠是一种注意力集中的特殊精神状态,是一种高度受暗示性的状态。目前的电话诈骗中就时常会运用到催眠的各种技巧。
1. 假借权威身份建立信任。催眠成功与否并不是由催眠师的技巧决定,而是由被催眠者本身暗示性强弱和是否信任催眠师决定的。越信任,潜意识的自我保护就越薄弱,就越能够遵照催眠师的指令。塑造权威形象是建立信任的快捷途径之一,这就是权威性催眠,即由所谓的专家说出来,往往被社会大众和传媒当作“事实”和“真理”,更容易接受[5]。因此电话的开始,骗子往往冒充权威部门,如电信、银行、公安、法院等告知被害者“电话欠费”“银行卡被盗刷”,并将被害人的姓名、身份证号、家庭地址等个人信息逐一核对,让被害人相信电话就是这些部门打来的。
2.利用通话制造环境气氛。在这类诈骗电话中往往有背景音,如“电信部门”的来电,电话中往往会有营业厅人群的声音;“公安部门”来电,后面常有接警与对讲机的声音、警车鸣笛声;在查询个人信息间隙,还可以听到工作人员敲击键盘查询的声音[2]。这些声音营造出的环境氛围具有催眠效果,让被害者对这些“工作人员”不疑有他,进一步掉进他们的陷阱。
3.强调事态严重造成心理恐慌。建立初步信任之后,电话那端就开始刻意反复强调“身份证被人盗用”“账户透支”“涉嫌洗钱”等的事态严重性。有时为了增强效果,通话过程中还会有“其他警官”用小声但又足够让你听得到的声音提议“和他啰嗦这么多干什么,直接抓回来问”,被害者进入上文所提及的应激状态中,情绪高度紧张,注意力变得狭窄,只想着如何撇清,如何解决这件事,慌不择路下进入骗子设好的陷阱中。 4.语句反复语速适中引导进入催眠。凡是单调、重复、刻板的刺激都能诱发不同程度的催眠。乘车长途旅行就是个例子,长途旅行中单调、重复的车轮转动声会成为催眠性刺激诱人进入催眠状态,在催眠中似乎能听到列车员报站的声音,而对其他声音迷迷糊糊甚至一无所知。电话诈骗中正是用这种重复平稳但单调的语速与受害人进行沟通,以达到引导催眠的效果,尤其是在核对身份证、信用卡号以及后面在ATM机上操作报转账卡号时,“3-3-0-4-……”以这种有微停顿而又无明显间隔的平稳语速报出一连串数字,与催眠引导技巧中“数数”“数台阶”等方法如出一辙。听到这一连串单调、刻板的数字加上之前放下的戒心,便容易不自觉被引导进入浅催眠状态,受害人的视野会变得狭窄、局限,开始只专注停留在眼前,按照电话的指示重复单调机械动作。等回过神发现上当时,回想如何在ATM的操作却怎么也想不起来了,只觉得迷迷糊糊,因为当时可能已经进入了浅催眠状态。
5.保持通话制造判断真空。从家接到电话到ATM机上完成操作,整个过程骗子往往不给人喘息的机会,全程保持通话,还可能会叮嘱“泄露你个人信息的可能就是身边的人”所以要求不与家人朋友联系。因为一旦接触骗子以外的信息源,就很可能使得思维不局限于骗子催眠灌输的这些信息,发现种种疑点进而发觉这是个骗局。就像催眠治疗进行过程中如果突然有铃声响了,就会被一下子拉回来,需要催眠师重新引导进入。因此保持通话就是为了继续让受害者失去判断能力,保持在催眠状态。
利用“登门槛效应”心理行骗
“登门槛效应”(Foot in the Door Technique)源于美国社会心理学家弗里德曼与弗雷瑟所做的一个实验。实验者随机访问一组家庭主妇(A组),请她们把一个小招牌挂在自己家的窗户上。这些家庭主妇们大都愉快地同意了。过了一段时间,实验者再次走访这些家庭主妇,请求她们将一个不太美观的招牌挂在自己的窗户上,她们大都同意了。又过了一些日子,实验者请求这些家庭主妇把一块不仅大而且不太美观的招牌放在院子里,结果依然有超过半数的家庭主妇同意了。相比之下,对随机访问的另一组家庭主妇(B组),直接表示希望将一块不仅大而且不太美观的招牌放在她们的庭院里,结果同意这个要求的家庭主妇的人数只有17%。可以看出,面对别人提出的一个小要求时,我们通常很难拒绝,而实际上这个小要求只是一块敲门砖,一旦接受了这个要求,就仿佛跨进了一道心理上的门槛。当别人再提出一个更高一些的要求时,这个要求就和前一个要求有了承继关系,让人容易顺理成章地接受。这样比一开始就提出较高的要求更容易让人接受,就如同登门槛的时候要一级一级台阶地登,如此才能更加顺利地登上高处一样,这是一种非常有效的心理引导技巧。我们大多数人都过这样的经历,在街头填份调查问卷或试用某样东西,其结果往往会莫名地买一堆并不真正需要的东西,这就是销售人员利用了“登门槛效应”的一种推销活动。“登门槛效应”的应用范围很广,销售、管理、家庭教育等等都有用到,当然,骗子也常常利用它来进行诈骗活动。
比如现在有一档很火的电视节目“中国好声音”,许多人会收到类似的短信:“您的手机号码已被浙江电视台‘中国好声音’栏目组后台抽选为场外幸运观众,将获得由苹果公司赞助提供的奖金68000元人民币与苹果MacBook Pro笔记本电脑一台……”本来这样的短信应该很容易被识破,但是为什么还是会有人上当呢,这就和登门槛效应有关。因为在有幸收到这个“中奖信息”后,“主办方”通常会要求小数额的费用,比如十几块钱的奖品运费,比较容易让人接受,很多人觉得就算被骗也就是十几块钱,“万一”是真的,奖品可是“几千乃至上萬元”,容易产生“用小钱换大钱”的侥幸心理,于是答应付运费,这实际上是进入了“门槛”。但是运费之后往往又有手续费、个人所得税等费用需要受害者一步步往上“登”,当“登”上了一定的高度,受害者就往往会产生出“之前已经付了这许多钱,那就得把奖品拿到再说”的心理,因此,有的时候人们即使会对此产生怀疑却仍旧继续汇款,心存侥幸,直到数额大到令人不能接受,才让他们幡然悔悟为止。
与骗子周旋可谓是一场心理之战,须得知己知彼,才能了解他们伎俩背后的心理学原理。此外,还得做好自己的心理建设,做到当发生危急事件时,能镇静而不慌乱,与亲朋好友一同商量解决,平时多留意新闻报道出现的新型诈骗形式,及时提醒传播给周围的人尤其是家中老人,从而有效预防各种诈骗犯罪的发生。
(陈国鹏:华东师范大学心理与认知科学学院教授,上海市心理学会理事。
王莉佳:同济大学浙江学院心理咨询师。)